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内 容 简 介 


计算 机 网 络 安全 既是 推进 信息 化 的 基础 保障 ,也 是 信息 系统 正常 运行 的 关键 环节 。 本 书 针 对 高 职 
高 专 的 教学 特点 ,坚持 实用 技术 和 实际 案例 相 结合 的 原则 ,注重 操作 能 力 和 实践 技能 的 培养 ,以 管理 与 
安全 为 主线 ,介绍 当前 计算 机 网 络 管理 与 安全 的 主要 技术 与 工具 。 内 容 包 括 : 基于 Windows 2003 的 活 
动 目 录 管 理 方法 、Windows 2003 网 络 服务 功能 、SNMP 协议 ,以 及 加 强 计算 机 网 络 安全 管理 等 技术 
应 用 。 

本 书 的 实用 性 和 操作 性 并 重 , 且 充分 考虑 到 高 职 学 生 的 特点 和 社会 需求 ,注重 学 生 实践 能 力 的 培 
养 。 本 书 不 仅 适 用 于 高 职高 专 院 校 计算 机 、 信 息 管理 .电子 商务 、 物 流 管理 等 各 专业 的 教学 ; 也 可 作为 
企业 从 业 人 员 在 职 培训 以 及 社会 IT 人 士 提高 应 用 技能 与 技术 的 教材 ; 对 于 广大 自学 者 也 是 一 本 有 益 
的 读物 。 
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微 电 子 技术 、 计算 机 技术 、 网 络 技术 、 通信 技术 、 多 媒体 技术 等 
高 新 科技 日 新 月 异 的 飞速 发 展 和 普及 应 用 , 不 仅 有 力 地 促进 了 各 国 经 
济 发 展 , 加 速 了 全 球 经 济 一 体 化 的 进程 , 而 且 使 当今 世界 迅速 跨 入 到 
信息 社会 ; 以 计算 机 为 主导 的 计算 机 文化 , 正在 深刻 地 影响 着 人 类 社 
会 的 经 济 发 展 与 文明 建设 , 以 网 络 为 基础 的 网 络 经 济 , 正在 全 面 地 改 
变 着 人 们 传统 的 生活 方式 、 工作 方 式 和 商务 模式 。 

随 着 我 国 改革 开放 进程 的 加 快 , 伴随 着 我 国 加 入 WTO 以 及 我 国 
市 场 经 济 体制 的 不 断 完善 与 发 展 , 中 国 经 济 正在 迅速 融入 世界 经 济 ， 
中 国 市 场 国际 化 的 特征 越 来 越 明 显 。 中 国 经 济 持 续 高 速 增长 , 进入 
到 了 一 个 最 为 活跃 的 经 济 发 展 时 期 。 这 一 切 都 离 不 开 高 新 科技 的 支 
持 , 都 需要 计算 机 、 网 络 、 通 信 、 多 媒体 等 现代 化 技术 手段 的 支撑 。 
为 此 , 国家 出 台 了 一 系列 关于 加 强 计算 机 应 用 和 推动 国民 经 济 信 息 化 
进程 的 文件 及 规定 , 启动 了 电子 商务 、 电 子 政务 、 金 税 等 富有 深刻 意 
义 的 重大 工程 ,加速 推进 “金融 信息 化 、 财 税 信息 化 、 企业 信息 化 和 
教育 信息 化 ”, 全 国 掀起 了 新 一 轮 的 计算 机 学 习 与 应 用 的 热潮 。 

当今 的 时 代 处 于 网 络 化 和 信息 化 时 代 , 很 多 工作 都 已 经 计算 机 
化 、 网 络 化 。 随 着 我 国 国民 经 济 信息 化 进程 的 加 快 , 更 加 强调 计算 机 
应 用 与 行业 、 企 业 的 结合 , 更 注重 计算 机 应 用 与 本 职工 作 、 具体 业务 
的 结合 , 计算 机 应 用 与 本 职工 作 结 合 的 深度 和 广度 已 成 为 评价 和 考察 
一 个 人 能 否 就 业 上 岗 、 是 否 胜任 本 职工 作 的 重要 条 件 。 目前 , 我 国正 
处 于 改革 与 发 展 的 关键 时 期 , 面 对 激 烈 的 市 场 竞争 和 就 业 上 岗 的 巨大 
压力 , 无 论 是 即将 毕业 的 各 类 学 生还 是 下 岗 转岗 的 待业 人 员 , 努力 学 
习 计 算 机 、 熟 练 操 作 计算 机 、 真 正 掌握 好 现代 化 科技 工具 ,对 于 今后 
的 发 展 都 具有 特殊 意义 。 

针对 我 国 高 职 教育 “计算 机 应 用 ”等 信息 技术 应 用 专业 知识 老 
化 、 教 材 陈旧 、 重 理论 轻 实践 、 缺 乏 实际 操作 技能 训练 等 问题 ,为 了 
适应 我 国 国民 经 济 信息 化 发 展 对 计算 机 应 用 人 才 的 需要 , 为 了 全 面 贯 
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彻 教育 部 关于 “加 强 职业 教育 ”的 精神 和 “强化 实践 实 训 、 突 出 技能 培养 ”的 要 求 ， 根据 
企业 用 人 与 就 业 岗位 的 真实 需要 , 结合 高 职高 专 院 校 “计算 机 应 用 ”和 “网 络 安全 ”等 专 
业 的 教学 计划 及 课程 设置 与 调整 的 实际 情况 , 我 们 组 织 北京 联合 大 学 、 北方 工业 大 学 、 
北京 财贸 职业 学 院 、 首钢 工学 院 、 北方 工业 技术 学 院 、 北京 石景山 社区 学 院 、 北 京城 市 
学 院 、 北京 西城 经 济 科学 大 学 、 北京 朝阳 社区 学 院 、 北京 宣武 社区 学 院 、 黑 龙 江 工商 大 
学 等 全 国 30 多 所 高 校 及 高 职 院 校 多 年 在 一 线 从 事 计算 机 教学 的 主讲 教师 和 具有 丰富 实 
践 经 验 的 企业 人 士 共 同 撰写 了 这 套 教材 。 

本 套 教材 包括 : 《计算 机 基础 实例 教程 》、 人 微机 组 装 (DIY) 与 维护 》、 人 多 媒体 案 
例 教程 》、《 办 公 自 动 化 应 用 技术 》、《Visual Basic. NET 基础 教程 》、 《SQL Server 数 
据 库 案例 教程 》、 人 网 页 设计 与 制作 实用 教程 》、 人 中 小 企业 网 站 建设 与 管理 》、《 计 算 机 
网 络 管理 与 安全 》、 人 管理 信息 系统 》、 人 电子 商务 案例 》11 本 书 。 在 编写 过 程 中 , 所 有 
作者 都 自觉 地 以 科学 发 展 观 为 指导 思想 , 严守 统一 的 创新 型 格式 化 设计 , 采取 任务 制 或 
项 目 制 写法 , 贴近 行业 企业 岗位 实际 , 注重 实用 性 技术 与 能 力 的 训练 培养 , 注重 实践 技 
能 应 用 与 工作 背景 紧密 结合 , 同时 也 注重 计算 机 、 网络、 通信、 多 媒体 等 现代 化 信息 技 
术 的 新 发 展 , 使 教材 具有 集成 性 、 系 统 性 、 针 对 性 、 实 用 性 、 形 式 新 颖 和 易于 实施 教学 等 
特点 。 

本 套 教材 不 仅 适合 高 职高 专 “ 计 算 机 应 用 ”和 “网 络 安全 ”等 专业 及 经 济 管理 \ 税 
务 、 财会、 金融 类 各 专业 学 生 的 学 历 教育 , 同时 也 可 作为 广大 工商 流通 企 事 业 单位 从 业 
人 员 的 职业 教育 和 在 职 培训 , 对 于 其 他 自学 者 也 是 一 本 有 蔓 的 读物 。 


系列 教材 编 委 会 
2007 年 7 月 
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随 着 计算 机 技术 与 网 络 通信 技术 的 飞速 发 展 , 计算 机 网 络 应 用 已 
经 渗透 到 社会 经 济 领域 的 各 个 方面 。 计算 机 网 络 技术 是 现代 信息 科 
学 与 技术 的 重要 组 成 部 分 , 也 是 计算 机 管理 信息 系统 的 核心 ;计算 机 
网 络 管理 与 安全 既是 信息 化 推进 的 基础 保障 , 也 是 信息 系统 正常 运行 
的 关键 环节 , 因而 备 受 世界 各 国 高 度 关注 。 

本 教材 针对 计算 机 网 络 管理 与 安全 等 方面 存在 的 管理 及 技术 问 
题 , 按照 教育 部 关于 “加 强 职业 教育 、 强 化 实践 教学 、 突 出 技能 和 能 
力 培养 ” 教育 教学 改革 精神 , 根据 计算 机 网 络 管理 与 安全 课程 教学 规 
律 和 特点 , 对 原 有 的 计算 机 网 络 管理 、 网 络 安全 等 内 容 进行 了 深度 综 
合 与 提炼 , 并 注意 打通 相关 知识 联系 , 采取 了 集成 式 写法 。 本 书 内 容 
包括 : 基于 Windows 操作 系统 的 活动 目录 管理 方法 、 网 络 操作 系 
统 、 网 络 管理 、 对 因特网 工作 环境 的 支持 、 网 络 安全 技术 与 应 用 、 
SNMP 协议 管理 等 基本 知识 ,以 及 加 强 计算 机 网 络 安全 管理 等 技术 
应 用 。 

全 书 共 8 章 , 采取 新 颖 统一 的 格式 化 设计 ， 突 出 案例 教学 , 在 案 
例 的 选择 上 具有 实用 性 , 以 学 习 者 应 用 能 力 培养 与 提高 为 主线 , 依照 
学 习 计 算 机 网 络 管理 与 安全 的 基本 过 程 和 规律 , 以 任务 剖析 的 方式 ， 
结合 知识 要 点 循序 渐进 地 进行 讲解 。 本 书 在 引导 读者 对 知识 和 技术 
理解 与 掌握 的 基础 上 , 通过 多 动手 、 多 练习 的 方式 , 提高 实践 应 用 技 
能 , 注重 动手 能 力 的 培养 , 以 达到 学 以 致 用 的 目的 。 

目前 , 世界 正 处 于 科学 技术 的 高 速 发 展期 , 我 国 也 正 处 在 经 济 发 
展 最 活跃 的 时 期 , 面 对 激烈 的 市 场 竞 争 , 面 对 科 技 进步 , 所 有 企 事业 
单位 都 在 科学 发 展 观 的 统领 下 加 快 信息 化 进程 ,加速 信息 技术 应 用 ， 
特别 关注 和 加 强 计算 机 网 络 管理 与 安全 的 监控 。 当前 面临 企业 拼 发 
展 , 面临 社会 就 业 上 岗 的 巨大 压力 , 无 论 是 企业 员工 、 即 将 毕业 的 各 
类 学 生 , 还 是 下 岗 转岗 的 待业 人 员 , 努力 学 习 和 掌握 计算 机 网 络 管理 
与 安全 的 软件 工具 及 技术 应 用 , 不 断 提 高 业务 技术 素质 , 对 于 今后 的 
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发 展 都 具有 特殊 意义 。 

本 教材 由 李 大 军 进行 总 体 方案 策划 并 具体 组 织 , 赵 立 群 主编 并 统 编 全 稿 , 车 亚军 和 
车 东升 为 副 主 编 , 本 书 由 具有 丰富 专业 教学 和 企业 实践 经 验 的 杜 春 涛 教授 审定 。 参加 
编写 的 人 员 有 : 车 亚军 (第 1 章 ), 李 多 人 第 2 章 ), 王 海 珊 (第 3 章 ), 杨 春 (第 4 
章 )， 赵 立 群 第 5 章 ) , 孙 钢 凝 第 6 章 ), 关 忠 人 第 7 章 ), 车 东升 第 8 章 ) 。 

本 书 在 编写 过 程 中 , 广泛 征集 了 各 高 等 职业 院 校 计算 机 网 络 管理 与 安全 课程 的 主讲 
老师 和 有 关 企 事业 单位 计算 中 心 负 责 人 对 本 书 的 修改 意见 与 建议 , 得 到 了 我 国有 关 计 算 
机 行业 协会 的 支持 与 帮助 , 得 到 了 长 期 从 事 计 算 机 教育 教学 有 关 专 家 教授 的 指导 ; 在 
此 , 对 参与 本 书 出 版 论证 与 写作 指导 的 牟 惟 仲 、 王 纪 平 、 张 昌 连 、 喝 俊杰 、 吴 明 、 林 亚 、 
储 祥 银 、 丁 建 忠 , 侯 杰 、 沈 煜 、 赵 黄 等 同志 一 并 表示 衷心 地 感谢 。 由 于 时 间 紧 , 在 编写 
过 程 中 难免 存在 不 足 和 朴 漏 ,恳请 各 位 专家 及 读者 给 予 批评 指正 。 


编 者 
2007 年 7 月 
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基于 操作 系统 的 管理 


【本 章 内 容 】 

本 章 主要 介绍 网 络 操作 系统 的 概念 和 工作 模式 ,同时 介绍 在 对 等 网 模式 下 Windows 
2003 的 组 网 过 程 , 讲 解 Windows 2003 提供 的 域 模 式 与 对 等 网 模式 各 自 的 特点 ,使 读者 
对 基于 操作 系统 的 管理 有 一 个 初步 认识 。 

【本 章 重点 

@ 了 解 Windows 2003 操作 系统 提供 的 网 络 工作 模式 。 

回 掌握 用 Windows 2003 在 对 等 网 模式 下 组 网 的 方法 。 

图 理解 域 模式 中 的 基本 概念 和 网 络 设计 规划 应 注意 的 主要 问题 ,掌握 活动 目录 安 
装 、 却 载 操作 ; 理解 网 络 操作 系统 的 功能 。 

图 了 解 网 络 操作 系统 在 共享 资源 管理 上 的 基本 特点 。 


操作 系统 是 用 户 与 计算 机 之 间 的 接口 .是 计算 机 系统 资源 的 管理 者 ,用 户 可 以 通过 操 
作 系 统 方便 地 使 用 计算 机 系统 。 本 书 第 1 章 到 第 3 章 主要 从 应 用 层面 上 介绍 以 操作 系统 
为 工具 对 网 络 中 的 资源 及 用 户 进行 管理 的 基本 方法 。 


1.1 网 络 操作 系统 的 主要 功能 和 工作 模式 


网 络 操 作 系 统 (Network Operating System,NOS) 是 使 网 络 上 各 计算 机 方便 而 有 效 
地 管理 本 地 及 网 络 资源 ,为 网 络 用 户 提供 所 需 的 各 种 服务 的 系统 软件 。 网 络 操作 系统 除 
了 应 具有 操作 系统 的 功能 之 外 ,还 应 提供 高 效 . 可 靠 的 网 络 通信 能 力 以 及 多 种 网 络 服务 
功能 。 

单机 操作 系统 必须 具备 以 下 两 个 方面 的 功能 : 

(1) 为 用 户 提 供 各 种 简便 有 效 的 访问 本 级 资源 的 手段 。 

(2) 合理 地 组 织 系统 工作 流程 ,有 效 地 管理 系统 。 

为 了 实现 以 上 两 个 基本 功能 ,需要 在 操作 系统 中 建立 各 种 进程 ,编写 不 同 的 功能 模 
块 , 并 按 层次 结构 的 思想 将 功能 模块 组 织 起 来 ,以 完成 处 理 器 管理 .存储 管理 .设备 管理 、 
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文件 管理 和 作业 管理 等 任务 。 

随 着 计算 机 网 络 技术 的 发 展 ,各 种 规模 的 局 域 网 纷纷 被 建立 起 来 。 传 统 的 单机 操作 
系统 只 能 为 本 地 用 户 使 用 本 机 资源 提供 服务 .不 能 满足 开放 的 网 络 环境 的 要 求 , 对 于 联网 
的 计算 机 系统 ,其 资源 既是 本 地 资源 ,又 是 网 络 资源 ; 既 要 为 本 地 用 户 提供 资源 共享 服 
务 , 又 要 为 网 络 中 的 远程 用 户 提 供 服务 。 网 络 操作 系统 的 基本 任务 就 是 屏蔽 本 地 资源 与 
共享 资源 的 差异 ,为 用 户 提供 各 种 基本 的 网 络 服务 功能 ,完成 网 络 共 享 系统 的 资源 管理 并 
提供 网 络 系统 的 安全 服务 。 
因此 网 络 操作 系统 除了 具有 单机 操作 系统 的 功能 外 ,还 应 具有 以 下 功能 : 

(1) 网 络 通信 管理 负责 实现 网 络 中 计算 机 之 间 的 通信 。 

(2) 对 网 络 中 软 硬 件 资源 实施 有 效 的 管理 ,以 保证 用 户 方便 .正确 地 使 用 这 些 资 源 ， 
提高 资源 的 利用 率 。 

(3) 提供 网 络 访问 的 安全 措施 .保证 系统 中 共享 资源 的 安全 性 。 

(4) 提供 网 络 服务 ,包括 文件 传输 服务 、 打 印 服 务 、 电 子 邮件 服务 等 。 

网 络 操作 系统 是 网 络 的 心脏 和 灵魂 ,是 计算 机 网 络 不 可 缺少 的 系统 软件 ,一 个 网 络 操 
作 系 统 是 一 个 复杂 的 计算 机 程序 集合 , 它 提供 网 络 操作 过 程 的 协议 或 行为 准则 ,没有 网 络 
操作 系统 ,计算 机 网 络 就 无 法 工作 。 一 台 计 算 机 通过 网 络 操作 系统 能 访问 同一 网 络 的 所 
有 共享 资源 。 

计算 机 网 络 在 操作 系统 的 干预 下 ,有 3 种 工作 模式 : 对 等 网 模式 .工作 站 /服务 器 模 
式 、 客 户 机 /服务 器 模式 。 

(1) 对 等 网 模式 
网 络 中 每 台 计 算 机 的 地 位 是 平等 的 , 既 可 以 给 其 他 计算 机 提供 服务 充当 服务 器 ,也 可 
以 向 其 他 计算 机 索取 服务 充当 客户 机 :网 络 中 不 存在 明确 的 服务 器 和 客户 机 。 对 等 网 模 
式 如 图 1-1 所 示 。 

(2) 工作 站 /服务 器 模式 

网 络 以 服务 器 为 中 心 ,严格 地 定义 了 每 一 个 实体 的 工作 角色 , 即 网 络 上 工作 站 无 法 在 
彼此 之 间 进 行文 件 传输 ,要 通过 服务 器 作为 媒介 .所 有 文件 的 读 取 、 消 息 传送 等 是 在 服务 
器 掌握 之 中 。 工 作 站 /服务 器 模式 如 图 1-2 所 示 。 


旺旺 县 


工作 站 工作 站 工作 站 
图 1-1 对 等 网 模式 图 1-2 工作 站 /服务 器 模式 
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(3) 客户 机 /服务 器 模式 ( 主 从 模式 ) 
由 客户 机 、 服 务 器 上 的 各 种 服务 程序 构成 的 一 种 网 络 计 算 机 环境 ,把 应 用 程序 要 完 
成 的 任务 分 派 到 客户 机 和 服务 器 上 共同 完成 ,其 中 的 客户 机 和 服务 器 并 没有 一 定 的 严 


格 界限 ,而 取决 于 运行 的 软件 。 在 客户 机 / 
服务 器 模式 中 ,服务 器 所 提供 的 不 仅 是 文 3 E 
件 、 数 据 库 功能 ,还 有 计算 、 通 信 等 能 力 。 工 


作 时 ,由 客户 机 和 服务 器 各 自负 担 部 分 计算 轩 四 
或 通信 功能 。 客 户 机 /服务 器 模式 如 图 1-3 
所 示 。 1-3 客户 机 /服务 器 模式 


3 种 模式 各 自 的 优 缺点 ,如 表 1-1 所 示 。 
表 1-1 3 种 模式 的 比较 


工作 模式 优点 缺点 
结构 简单 ,资源 直接 共享 ,任何 两 台 计 | 每 台 计 算 机 以 双重 身份 工作 , 负 
Ee 算 机 可 以 直接 通信 担 重 
数据 保密 性 六 
不 需 专用 服务 器 天 让 
可 以 按照 不 同 的 需要 给 予 使 用 者 相应 | 多 个 使 用 者 使 用 同一 文件 时 ,效率 
的 权限 会 降低 
亚 
作 中 /起 务 恬 a 工作 站 资源 不 能 直接 共享 
一 日 服 务 名 有 问题 ,将 影响 全 网 
任务 南 服 务 器 \ 客 户 机 分 担 ,执行 速度 
宇 户 机 /服务 名。 | 快 。 发 生 故 障 时 ,网 络 不 会 骨 六 管理 较为 复杂 
扩大 系统 时 ,容易 加 挂 服务 器 或 客户 机 | AAA 
安全 性 好 


目前 ,网 络 操作 系统 并 非 只 有 一 种 ,而 是 存在 着 多 种 操作 系统 。 常 见 的 有 Windows、 
Netware、UNIX 等 。 在 这 里 只 讲 Windows 2003, 它 的 工作 模式 只 有 对 等 网 和 主 从 网 两 种 。 


1.2 对 等 网 模式 下 的 管理 


Windows 2003 的 对 等 网 工作 模式 是 以 工作 组 方式 来 实现 的 ,采用 工作 组 组 织 方式 的 
对 等 网 具有 以 下 特点 : 

。 工 作 组 中 的 所 有 计算 机 之 间 是 一 种 平等 的 关系 ; 

。 工作 组 模式 下 资源 和 账户 的 管理 是 分 散 的 ; 

。 每 台 计 算 机 上 有 一 套 本 地 安全 数据 库 , 用 来 验证 在 本 机 登录 的 用 户 。 
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1. 用 户 的 管理 
在 对 等 网 模式 中 ,采用 本 地 用 户 账号 的 方式 对 用 户 进 行 管理 。 如 果 想 使 用 某 台 计算 
机 上 的 资源 ,就 必须 要 在 该 计算 机 上 有 相应 的 账号 ,并 且 该 账号 对 资源 有 一 定 的 访问 权 


4 
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限 。 权 限 是 与 对 象 (通常 是 文件 文件 夹 或 打印 机 ) 相 关联 的 一 种 规则 , 它 规 定 哪 些 用 户 可 
以 访问 该 对 象 以 及 以 何 种 方式 访问 。 

用 户 账户 包含 了 用 户 惟一 的 身份 标识 。 在 对 等 网 模式 下 ,可 以 创建 本 地 用 户 账 号 。 
Windows Server 2003 还 提供 了 内 置 的 用 户 账户 ,用 于 协助 用 户 进 行 日 常 的 管理 任务 ,或 
者 临时 访问 资源 。 

(1) Administrator( 管 理 员 账 户 ) 

管理 员 账 户 具 有 对 本 机 资源 的 完全 控制 权限 ,可 以 根据 需要 创建 用 户 并 指派 相应 的 
访问 控制 权限 ,该 账户 必须 仅 用 于 需要 管理 凭据 的 任务 。 由 于 大 多 数 人 都 知道 管理 员 这 
个 账户 ,为 了 安全 起 见 ,可 以 将 此 账户 设置 为 使 用 强 密码 或 者 重 命名 后 赋予 其 最 低 的 权限 
来 进行 保护 。 

(2) Guest( 访 客 账户 ) 

Guest 账户 由 在 这 台 计 算 机 上 没有 实际 账户 的 用 户 使 用 。Guest 账户 不 需要 密码 。 
默认 情况 下 ,Guest 账户 是 禁用 的 ,但 也 可 以 启用 它 。 

可 以 设置 Guest 账户 的 权利 和 权限 ,设置 方式 与 其 他 用 户 一 样 。 默 认 情 况 下 ,Guest 账 
户 是 默认 的 Guest 组 的 成 员 。 默 认 情况 下 将 禁用 Guest 账户 ,并 且 建 议 将 其 保持 禁用 状态 。 

2. 组 的 管理 

如 果 多 个 用 户 对 同一 个 资源 有 相同 的 访问 权限 时 ,逐个 设置 显然 是 非常 思春 的 事情 ， 
这 时 可 以 引入 组 的 概念 。 组 是 用 户 账号 的 集合 ,可 以 将 对 网 络 资源 中 拥有 相同 的 控制 和 
访问 权限 的 用 户 组 织 在 一 起 ,集中 授权 ,统一 管理 。 在 对 等 网 模式 下 ,可 以 创建 本 地 组 。 
本 地 组 是 一 种 安全 组 ,只 被 赋予 了 对 创建 该 组 的 计算 机 上 的 资源 进行 访问 的 权利 和 权限 。 

关于 对 等 网 模式 中 用 户 和 组 的 管理 操作 ,将 在 1. 3 节 的 综合 实 训 中 作 详 细 介 绍 。 


122 共享 资源 的 管理 


在 对 等 网 中 是 通过 对 共享 文件 夹 的 设 定 来 实现 资源 的 共享 。 共享 文 件 夹 的 设 定 方法 
非常 简单 ,具体 操作 如 下 : 

(1) 右 击 需要 共享 的 文件 夹 ,在 出 现 的 快捷 菜单 中 选择 
“共享 ”命令 ,如 图 1-4 所 示 。 EE 

(2) 在 弹出 的 文件 夹 属性 对 话 框 中 ,选择 “共享 该 文件 
夹 " 单 选 按钮 ,然后 在 “共享 名 ”文本 框 中 输入 该 共享 文件 夹 
的 共享 名 称 , 如 图 1-5 所 示 。 - 

(3) 默认 情况 下 ,系统 对 设置 共享 的 文件 夹 都 给 图 1-4 资源 共享 
everyone 用 户 组 完全 控制 的 权限 ,当然 这 样 做 从 安全 角度 
考虑 是 非常 不 保险 的 ,所 以 建议 管理 员 根 据 情 况 适 当 改 变 权 限 。 可 通过 单 击 “ 权 限 ” 按 钮 
进行 修改 。 

(4) 设置 共享 后 ,文件 夹 将 会 变 成 带 有 蓝 色 手 形 标志 的 共享 文件 夹 图 标 。 

不 过 要 注意 的 是 ,在 Windows 2000/2003 系统 中 .有 一 种 共享 文件 夹 是 在 网 上 看 不 
到 的 , 那 就 是 系统 本 身 用 于 管理 的 共享 文件 夹 ,这 类 共享 文件 夹 的 共享 名 后 面 都 带 有 一 个 
“$$ ”, 如 图 1-6 所 示 。 
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图 1-5 设置 共享 图 1-6 隐藏 共享 


这 类 共享 文件 夹 通常 是 馆 辑 磁盘 ,这 主要 是 出 于 安全 和 管理 方面 考虑 的 。 用 户 虽 然 
在 “网 上 邻居 ”中 看 不 到 这 类 共享 文件 夹 , 但 实际 上 该 共享 文件 夹 是 存在 的 ,用 户 输 入 “\ 计 
算 机 名 \ 共 享 名 $” 即 可 进入 相应 文件 夹 。 

通过 以 上 各 步 的 配置 ,其 他 用 户 现在 就 可 以 通过 “网 上 邻居 ”查看 其 他 计算 机 上 的 共 
享 资源 了 。 在 “网 上 邻居 ”中 双击 “选择 邻近 的 计算 机 ”选项 即 可 显示 对 等 网 中 所 有 计算 
机 。 要 查看 某 计 算 机 的 共享 资源 ,只 需 双 击 相应 计算 机 名 称 即 可 。 


1.3 综合 实 训 


实 训 目的 : 

(1) 通过 本 实 训 理解 工作 组 模式 的 特点 。 

(2) 通过 本 实 训 学 会 在 工作 组 环境 下 进行 资源 的 共享 访问 。 

实 训 案例 : 

计算 机 A 上 C 盘 根 目 录 有 一 个 “教务 处 ”文件 夹 里面 存储 有 一 些 供 其 他 用 户 访 问 的 
文件 。 现 要 建立 一 个 用 户 组 “教务 处 组 ”, 使 得 该 组 中 的 用 户 可 以 对 “教务 处 ”文件 夹 完 全 
控制 。 计 算 机 B 的 C 盘 上 有 “管理 系 ” 文 件 夹 .要 求 建立 一 个 “管理 系 组 ”的 用 户 组 ,使 得 
该 组 可 以 对 “管理 系 " 文 件 夹 有 完全 控制 权限 。 计 算 机 C 中 建立 一 个 用 户 名 为 user3, 密 
码 为 abc123 ,要 求 用 户 user3 可 以 通过 计算 机 C 访问 计算 机 A 上 共享 文件 夹 “ 教 务 处 ”及 
计算 机 B 上 共享 文件 夹 “管理 系 ”。 

假设 : 计算 机 A、B 的 操作 系统 为 Windows Server 2003, 计 算 机 C 的 操作 系统 为 
Windows XP 专业 版 。 

1. 计算 机 A.B.C 的 共享 资源 设置 

(1) 在 计算 机 A 上 选择 开始- 所 有 程序 ”一 ”管理 工具 ”~ 计算 机 管理 ?命令 ,如 
图 1-7 所 示 。 
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各 中 croseft .ET Franework 1.1 配置 
村 中 croseft . 杰 T Franerork 1.1 向 导 


ra 
要 的 电 有 号 路 由 和 运程 访问 
让 配置 你 的 服务 器 向 导 


ee 一 ” 加] 证 书 堪 发 机 构 


WD Windows Catalog 
终 请 服务 营 理 器 
给 Windovs Update Ee 


Internet Explorer 
加 Outlook Express 
所 有 但 序 ,于 时 


图 1-7 打开 “计算 机 管理 ”窗口 


(2) 在 弹出 的 “计算 机 管理 ”窗口 左 侧 , 右 击 “ 本 地 用 户 和 组 ”下 的 “组 ”文件 夹 , 在 弹出 
的 快捷 菜单 中 选择 “新 建 组 ”命令 ,如 图 1-8 所 示 。 

(3) 在 出 现 的 “新 建 组 ”对 话 框 中 ,在 “组 名 "文本 框 中 输入 “教务 处 组 ”, 单 击 “ 创 建 " 按 
钮 ,如 图 1-9 所 示 。 


EE x 


加 文件 FE) 换 作 必 ) 查看 WY) 窗口 和 ) 帮助 00 
| 沾 | 则 | 四 | 加 加 | 久 


计算 机 管理 本 地 ) 
日 亡 不 统 I 具 要 Maninistrators 
田 加 事件 查看 器 要 bc Operators 
由 -天 共享 文件 夹 Guasts 
Py Network Configurat. 
四 用 户 到 Log Users 
己 绚 


int Operators 
emote Desktop Users 
aplicator 

ers 

elpServi cesGroup 
elnetClients 


添加 的)... Ea | 


磁盘 Fr 
田 狗 服务 和 一 一 一 一 一 一 一 一 | 
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图 1-8 新 建 组 图 1-9 建立 “教务 处 组 ” 


(4) 在 “计算 机 管理 ”窗口 右边 的 列表 框 中 就 出 现 新 建 的 “教务 处 组 ”, 如 图 1-10 
所 示 。 


EEC 
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Adaninistraters 
Backup Operators 
要 cuestz 

Network Configurat. 


Per fornance Nonito. 


Print Operators 
Renote Desktop Vsers 
Replicator 

Users 
HelpServicesGroup 
TelnetClients 


Per fornance Log Users 


管理 员 对 计算 机 / 域 有 不 委 限 制 . 
备份 操作 员 为 了 备份 或 还 原文 件 . 
的 默认 值 ， 来 宾 跟 用 户 这 的 成 员 
此 给 中 的 成 员 有 部 分 管理 权限 来 - 
此 组 的 成 员 可 以 远程 访问 以 计划 
此 组 的 成 员 可 以 远程 访问 以 监视 
高 级 用 户 fower Users) 拥 有 大 
成 员 可 以 管理 域 打印 机 


此 给 中 的 成 员 被 授予 远程 登录 的 
支持 域 中 的 文件 复制 

用 户 无 法 进行 有 意 或 无 意 的 改动 
才 助 和 支持 中 心 组 

本 钼 的 成 员 可 以 访问 此 系统 上 的 ， 


教务 处 组 


图 1-10 新 建 的 “教务 处 组 ” 


(5) 在 “计算 机 管理 ”窗口 左 侧 右 击 “用户 ” 
户 ” 命 令 , 如 图 1-11 所 示 。 


gO 
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文件 夹 , 在 弹出 的 快捷 菜单 中 选择 “新 用 
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图 1-11 


(6) 出 现 “ 新 用 户 ” 对 话 框 。 在 “用 户 名 ” 
文本 框 中 输入 user3 ,在 “密码 "文本 框 中 输入 
abc123 , 单 击 “创建 > 按钮 ,创建 一 个 名 为 
user3 的 新 用 户 ,如 图 1-12 所 示 。 

(7) 在 “计算 机 管理 ”窗口 中 , 右 击 user3 
用 户 。 在 弹出 的 快捷 菜单 中 选择 “属性 ” 命 
令 , 如 图 1-13 所 示 , 弹 出 “user3 属性 ”对 话 
框 ,如 图 1-14 所 示 。 

(8) 在 “user3 属性 ”对 话 框 中 , 单 击 “ 素 
属于 ”选项 卡 , 单 击 “ 添 加 ”按钮 ,如 图 1-15 
所 示 。 


新 建 用 户 
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全 6m: | 
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图 1-12 “新 用 户 ” 对 话 框 
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EREEEEE 
局 文件 四 操作 全 ) 查看 WD 再 口 轨 帮助 0 


生字 | 四国 |X 轩 攻 | 急 
计算 机 管理 (本地 ) 


厂 帐户 已 禁用 中 
三 帐户 已 帆 定 名 ) 


确定 取消 珊 用 三 
图 1-15 “隶属 于 ”选项 卡 


3 | pw | 
图 1-14 “user3 属性 ”对话 框 
(9) 出 现 “ 选 择 组 ”对 话 框 。 在 “输入 对 象 名 称 来 选择 (示例 )" 文 本 框 中 输入 “教务 处 
组 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 1-16 所 示 。 


图 1-16 “选择 组 ”对 话 框 
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(10) 打开 计算 机 A 的 “资源 管理 器 "窗口 , 右 击 C 盘 下 “教务 处 "文件 夹 , 在 弹出 的 快 
捷 菜 单 中 选择 “共享 和 安全 ”命令 ,如 图 1-17 所 示 , 弹 出 “教务 处 属性 ”对 话 框 ,如 图 1-18 
所 示 。 


文件 四 编辑 到) 查看 W) 收 蕊 工具 CD) 帮助 0) 
OF-.O- ?| MR DX | SS XW| OO- 


而 || ODocwments nd Settings 
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田 回 roem Files 


1-17 计算 机 A 的 资源 管理 器 


(11) 在 “教务 处 属性 ”对 话 框 中 ,选中 “共享 该 文件 夹 " 单 选 按钮 ,设置 共享 权限 ; 在 
“共享 名 "文本 框 中 输入 “教务 处 ”, 如 图 1-19 所 示 。 


可 本 到 
种 册 。 共 训 | 安全 | 自 定 义 | 3 共享 | | 入 | 
EE 人 5 要 上 史 村 时 并 
人 本 闪 学 该 文件 光 而 ) 不 共享 该 文件 夫 如 
三 人 共享 该 文件 站 G) 一 一 一 一 一 一 一 一 一 一 一 三 G 共享 访 文 件 赵 G 一 一 一 王 
#5s0m0: 门 共享 名 QD: ”同名 下 
HE 记 0 描述 四 ); 
用 户 数 限制 会 是 允 用 户 0J) 用 户 数 限制 ， 6 陈 多 用 户 面 } 
售 区 评 的 用 户 数量 0 | | 个 允许 的 用 户 数量 W: 。 厂 ” 习 
2 | ww | 
0 | i 


图 1-18 “教务 处 属性 ”对 话 框 图 1-19 “教务 处 属性 "对话 框 


注意 : 共享 名 称 可 以 和 文件 夹 名 称 不 同 。 

“用 户 数 限制 ?选项 组 有 两 个 单 选 按钮 。 

“最 多 用 户 ”: 系统 共享 不 限制 用 户 的 数量 。 

加 “人 允许 的 用 户 数量 ”: 可 以 在 文本 框 中 输入 限制 同时 访问 的 用 户 数量 , 当 超 过 这 个 
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限制 数目 时 ,新 用 户 将 不 能 再 访问 该 共享 文件 夹 ,只 有 等 已 经 连接 的 用 户 断 掉 连 接 后 , 才 
能 访问 该 共享 文件 夹 。 

(12) 在 图 1-19 中 单 击 “ 权 限 ” 按 钮 .出 现 “ 教 务 处 的 权限 ”对 话 框 。 单 击 “ 添 加 ”按钮 ， 
添加 新 的 组 账号 “教务 处 组 ”, 如 图 1-20 所 示 。 


| 本 可 
共享 权限 | 
姐 或 用 户 名 称 (6); 
i 


多 数 各 处 组 WEB\ 教 务 处 组 ) 


确定 取消 应 用 () 
1-20 “教务 处 的 权限 ”对话 框 1-21 设置 文件 夹 权限 


(13) 在 “组 或 用 户 名 称 ” 列 表 框 中 选择 “教务 处 组 (WEB\ 教 务 处 组 )”, 然 后 在 “教务 
处 组 的 权限 ”列表 框 中 选择 “完全 控制 "权限 ,如 图 1-21 所 示 , 单 击 “ 确 定 ” 按 钮 , 回 到 “教务 
处 的 权限 ”对 话 框 。 

(14) 单 击 “ 安 全 ”选项 卡 , 添 加 “教务 处 


组 ”, 如 图 1-22 所 示 。 CET ~ x 
(15) 将 “教务 处 组 ”的 权限 设置 为 “完全 “志和 | 将 ， 实 全 | 和 志 六 | 
控制 ", 单 击 “ 确 定 " 按 钮 ,完成 设置 。 [pee pepe 


说 明 : 在 “共享 ”选项 卡 中 设置 的 权限 为 a ee rhe 
“共享 权限 ”, 在 “安全 ”选项 卡 中 设置 的 权限 为 
本 地 权限 。 如 果 从 远程 计算 机 进行 访问 ,必须 | | | 
是 两 种 权限 的 关 加 。 amu mmm | 

(16) 在 计算 机 B 中 按照 上 述 步骤 再 创建 
一 个 “管理 系 组 ”, 如 图 1-23 所 示 。 

(17) 在 计算 机 B 中 同样 创建 一 个 新 用 户 
user3 ,密码 为 abcl123, 将 该 用 户 设置 归属 于 
“管理 系 组 ”, 步 又 同上 面 的 操作 ,这 里 就 不 重 
Ts 确定 取消 ”| 应用) 

(18) 打开 计算 机 B 中 的 “资源 管理 器 " 窗 
口 , 右 击 C 盘 下 “管理 系 "文件 夹 ,在 弹出 的 快 国 22 二 王 宇 件 类 访问 各 展 


” ] 回 国 因 回回 回 
1000OO0OD| 简 


第 1 章 基于 操作 系统 的 管理 “多 


轩 文件 四 挫 作 @， 查看 WJ。 浅 口 轨 帮助 0 


所 光鲜 四 | 国 图 | 急 


加 计算 机 管理 本地) 

已 也 号 工具 Aaninistrators 管理 员 对 计算 机 / 域 有 不 受 限制 
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由 -二 共享 文件 Guests 的 默 认 值 ， 来 计 限 用 户 姐 的 成 员 
日 人 Network Confi gurat. .。 此 组 中 的 成 员 有 部 分 管理 权限 来 


Per formance Log Users 此 组 的 成 员 可 以 运程 访问 以 计划 


写 jito, 以 运程 访问 以 
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人 更 ?over Users 高 昭 用 户 power Users) 拥 有 大 
上 加 Print Operators 成 员 可 以 管理 域 打印 机 
再 久 可 移动 存储 国 Renote Desktop Users ”此 组 中 的 成 员 被 授予 远程 登录 的 . 
全 要 zi 支持 域 中 的 文件 复制 


用 户 无 法 进行 有 意 或 无 意 的 改动 . 


图 1-23 新建 “管理 系 组 ” 


捷 菜 单 中 选择 “共享 和 安全 ”命令 ,如 图 1-24 所 示 。 按 照 上 述 步 又 ,设置 “管理 系 组 ”对 “ 管 
理 系 ” 文 件 夹 的 访问 权限 为 “完全 控制 ”。 


文件 中 ”编辑 中 查看 WD 收藏 WW) 工具 帮助 00 
避 ER - 司 -个 | 万 入 | 已 文 Hf 来 | 让 让 XX 9 | 站- 


地 址 @m) [< c.、\ 时 
文件 亚 x 
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图 1-24 计算 机 B 的 资源 管理 器 


(19) 在 计算 机 C 上 ,选择 “开始 ”>“ 控 制 面板 ”>“ 管 理工 具 ” 一 “计算 机 管理 ”命令 ， 
建立 用 户 user3 ,设置 密码 为 abc123, 如 图 1-25 所 示 。 
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2. 访问 共享 资源 


至 此 ,准备 工作 已 经 就 绪 , 下 面 开 始 实现 如 何在 计算 机 C 上 访问 计算 机 A、B 上 的 


资源 。 


方法 1: 在 “运行 ”对 话 框 中 输入 “\IP 地 址 \ 共 享 名 ?进行 访问 。 


方法 2: 通过 “网 络 邻居 ?进行 访问 。 


提示 : 通过 “网 络 邻 居 ” 进 行 访问 ,有 时 候 在 “网 络 邻 居 ” 中 没有 显示 出 要 访问 计算 机 
的 图 标 ,这 属于 正常 情况 。“ 网 络 邻 居 ” 不 能 保证 100% 能 访问 ,这 里 涉及 了 浏览 服务 , 浏 


览 服务 的 知识 可 以 参考 微软 网 站 的 网 络 广播 课程 。 


http://www. microsoft. com/ china/ technet/ webcasts/ondemand/episode. aspx?newsID 一 


msft031105vxpm。 

下 面 以 方法 1 为 例 ,介绍 在 计算 机 C 上 访问 
计算 机 A“ 教 务 处 ”共享 文件 夹 资源 的 操作 步骤 
(计算 机 A 的 IP 为 192. 168. 8. 33) 。 

(1) 选择 “开始 ”一 “运行 ”命令 ,如 图 1-26 所 
示 , 打 开 “ 运 行 ”" 对 话 框 。 

(2) 在 “打开 ”文本 框 中 输入 “*\192. 168. 8. 33\ 
教务 处 ”,192. 168. 8. 33 为 计算 机 A 的 IP 地 址 ,如 
图 1-27 所 示 。 

(3) 单 击 “ 确 定 ” 按 钮 ,弹出 一 个 身份 验证 对 
话 框 。 输 入 用 户 名 user3 和 密码 abc123, 单 击 “ 确 
定 ” 按 钮 ,系统 会 把 输入 的 用 户 名 ,密码 与 计算 机 
A 存储 的 user3 用 户 密 码 进行 比 对 。 密 码 一 致 则 
允许 访问 ,不 相同 则 拒绝 访问 ,如 图 1-28 所 示 。 

(4) 验证 合格 后 ,进入 计算 机 A 中 的 “教务 
处 ”文件 夹 , 如 图 1-29 所 示 。 

(5) 用 户 可 以 根据 计算 机 A 设置 的 权限 进行 
相应 的 操作 。 本 例 中 ,user3 用 户 拥 有 对 “教务 处 ” 
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图 1-26 “开始 ”菜单 


文件 夹 的 完全 控制 权限 ,因此 可 以 创建 一 个 名 为 “网 络 安全 . txt” 新 文本 文件 ,如 图 1-30 


所 示 。 


运行 


En 
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图 1-27 “运行 ”对话 框 


用 户 名 四: 
密码 @): 
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图 1-28 计算 机 A 密码 确认 对 话 框 
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图 1-29 ”访问 文件 夹 


下 面 以 方法 2(* 网 络 邻 居 ” 方 法 ) 为 例 ,介绍 在 计算 机 C 上 访问 计算 机 B 中 “管理 系 ” 
共享 文件 夹 资源 。 操 作 步 又 如 下 : 
(1) 在 计算 机 C 的 桌面 中 双击 “网 上 邻居 ”图 标 ,如 图 1-31 所 示 ,弹出 “网 上 邻居 ?对 话 框 。 
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图 1-30 ”创建 新 文件 图 1-31 “网 上 邻居 ”图 标 


(2) 在 Workgroup 窗口 右 侧 , 显 示 了 “网 上 邻居 ”中 所 有 的 计算 机 图 标 。 双 击 计算 机 
B 的 机 器 名 Web 图 标 ( 注 : Web 是 计算 机 B 的 机 器 名 ) ,如 图 1-32 所 示 。 
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图 1-32 Workgroup 窗口 
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(3) 在 弹出 的 身份 验证 对 话 框 中 ,输入 用 户 
名 user3 和 密码 abc123, 单 击 “ 确 定 ” 按 钮 ,系统 
会 把 输入 的 用 户 名 、 密 码 与 计算 机 B 存储 的 
user3 用 户 密码 进行 比 对 ,如 图 1-33 所 示 。 一致 
则 可 登录 ,否则 无 法 进入 计算 机 B。 

(4) 在 计算 机 B 的 共享 资源 窗口 ,双击 “ 管 
理 系 ”图 标 , 如 图 1-34 所 示 , 打开 “管理 系 ” 文 
件 夹 。 [mm | EL 

(5) 本 例 中 user3 用 户 拥有 对 “管理 系 ” 文 件 
夹 的 完全 控制 权限 ,可 以 右 击 “管理 系 ”文件 夹 下 。 图 133 计算 机 B 密 码 确认 对 话 框 
的 “linux 管理 . txt” 文 件 , 在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 ,如 图 1-35 所 示 ,删除 该 文 
件 后 的 窗口 如 图 1-36 所 示 。 
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图 1-35 删除 文件 


说 明 : 本 例 中 ,计算 机 A 上 “教务 处 ”和 计算 机 B 上 “管理 系 ” 文 件 夹 如 果 直 接 给 用 户 
user3 赋 权 , 则 步 又 更 少 , 但 建议 还 是 对 组 进行 赋 权 ,再 把 user3 用 户 加 到 这 个 组 中 ,这 样 
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图 1-36 ”删除 文件 后 的 窗口 


做 是 为 了 让 大 家 养 成 良好 的 赋 权 习惯 。 如 果 用 户 增加 ,就 会 体现 给 组 赋 权 的 方便 性 。 

小 结 : 通过 这 个 实 训 可 以 看 出 ,在 工作 组 模式 中 ,由 于 账户 分 别 存 储 在 不 同 的 计算 机 
上 ,用 户 要 访问 网 络 中 的 其 他 计算 机 资源 的 时 候 , 必 须 先 要 在 其 他 计算 机 上 建立 其 用 户 账 
户 。 随 着 网 络 规模 的 增 大 ,这 种 工作 组 模式 不 灵活 .效率 比较 低 。 建 议 网 络 规模 比较 大 的 
情况 下 ,要 使 用 域 的 模式 。 


1.4 活动 目录 的 基本 概念 


Windows 2003 的 主 从 工作 模式 就 是 域 工 作 模式 , 它 是 在 Windows 2003 提供 的 活动 
目录 基础 上 运行 的 。 若 想 管 理 和 使 用 域 模式 下 的 网 络 , 就 应 当 很 好 地 理解 活动 目录 的 工 
作 方 式 、 结 构 特点 及 其 中 一 些 基 本 概念 。 


14.1 域 的 概念 


1. 什么 是 域 

在 对 等 网 模式 中 ,是 以 工作 组 方式 来 实现 网 络 中 各 计算 机 之 间 的 通信 。 工 作 组 可 以 
算是 一 种 比较 松散 的 组 织 ,组 中 成 员 的 加 入 和 退出 以 及 组 中 各 台 计 算 机 中 资源 的 管理 都 
没有 统一 的 要 求 ,安全 方面 也 没有 保障 。 

那么 在 服务 器 中 如 何 进 行 资 源 的 集中 管理 和 安全 的 保障 呢 ? 微软 早 在 Windows NT 
时 就 提出 了 域 的 概念 。 域 可 以 看 成 是 一 个 带 有 安全 边界 的 区 域 , 在 这 个 区 域 中 的 资源 只 
对 有 资格 进入 区 域 的 用 户 开放 。 

将 域 比 作 一 个 五 星 级 宾馆 ,进入 宾馆 的 顾客 都 要 登记 身份 交付 押金 ,然后 得 到 一 个 房 
间 的 房 卡 。 顾 客 手中 的 房 卡 (用 户 账 号 ) 只 能 打开 指定 的 房间 (域内 的 资源 ), 只 有 特定 身 
份 的 人 员 才 有 能 打开 所 有 房间 的 钥匙 。 

域 是 一 个 具有 集中 安全 控制 机 制 的 网 络 。 在 网 络 中 选择 一 台 计 算 机 负责 集中 安全 控 
制 , 这 人 台 计 算 机 就 成 为 域 控制 器 ,所 有 的 计算 机 都 共享 域 控 制 器 上 的 账号 和 安全 数据 ,无 
需 各 自 建 立 本 地 账号 ,这 种 集权 管理 结构 就 叫做 域 。 域 比 工作 组 能 更 有 效 地 提高 网 络 管 
理 效 率 。 

2. 域内 计算 机 类 型 

域 中 计算 机 按照 功能 分 为 3 种 类 型 。 
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(1) 域 控制 器 (Domain Controller) 

域 控 制 器 专门 负责 管理 域内 用 户 账号 和 计算 机 安全 。 在 网 络 中 选择 一 台 性 能 较 好 的 
计算 机 安装 Windows Server 2003, 并 起 用 活动 目录 (Active Directory, AD) 服 务 , 则 该 计 
算 机 就 成 为 域 控制 器 。 域 控制 器 管理 用 户 域 的 交互 ,其 中 包括 用 户 登 录 过 程 、 身 份 验证 和 
目录 搜索 。 

(2) 成 员 服 务 器 (Member Server) 

安装 了 Windows Server 2003 但 没有 起 用 活动 目录 的 计算 机 ,可 以 提供 多 种 不 同 的 
网 络 服务 ,如 DHCP、DNS、IIS、FTP 等 ,这 些 计算 机 就 成 为 成 员 服务 器 。 成 员 服 务 器 根 
据 其 提供 的 服务 功能 被 冠 以 不 同 的 名 字 , 如 文件 服务 器 、 数 据 库 服务 器 Web 服务 器 、 
DNS 服务 器 等 。 成 员 服务 器 不 处 理 账号 登录 ,不 参与 活动 目录 复制 ,也 不 存储 域 安全 策 
略 信息 。 成 员 服务 器 受 域 控 制 器 的 管理 。 

(3) 客户 机 

所 有 安装 了 Windows 2000 Professional 或 者 Windows XP, 并 且 加 入 了 域 的 计算 机 
都 是 客户 机 。 用 户 通 过 客户 机 访问 域 中 的 各 种 资源 ,执行 应 用 程序 。 加 入 域 的 客户 机 都 
由 域 控 制 器 负责 用 户 身 份 的 验证 ,并 接受 域 控制 器 的 管理 。 

安装 Windows 95/98 操作 系统 的 计算 机 可 以 连接 到 域 。 用 户 可 以 从 Windows 95/98 
系统 的 计算 机 登录 到 域 ,并 访问 域 的 资源 ,但 这 些 计算 机 在 域 中 没有 计算 机 账号 。 

3. 域 树 和 域 林 

单 域 可 以 满足 一 般 中 小 企业 的 需求 。 对 于 大 型 企业 以 及 有 复杂 需求 的 情况 ,可 以 通 
过 多 重 域 结构 来 实现 。 多 重 域 结构 有 域 树 和 域 林 两 种 结构 。 

(1) 域 树 

在 DNS 中 , 域 树 是 指 用 来 索引 域名 的 反 向 分 层 树木 结构 。 域 树 在 目的 和 概念 上 与 磁 
盘存 储 中 计算 机 文件 归档 系统 所 使 用 的 目录 树 很 类 似 。 例 如 , 当 磁 盘 上 存储 很 多 文件 时 ， 
可 以 用 目录 将 文件 组 织 成 逻辑 集合 , 当 域 树 有 一 个 或 者 多 个 分 支 时 ,每 一 个 分 支 都 可 以 将 
名 称 空间 中 使 用 的 域名 组 合成 逻辑 的 集合 。 共 用 连续 名 称 空间 的 域 就 组 成 一 个 域 目 
录 树 。 

在 Active Directory 中 , 域 树 是 指 一 个 或 者 多 个 域 的 层次 结构 .通过 可 传递 的 双向 信 
任 实现 连接 ,从 而 形成 一 个 连续 的 名 称 空间 ,多 个 域 树 也 可 以 属于 一 个 林 。 

域 树 中 的 第 一 个 域 称 为 根 域 ,相同 域 树 中 的 其 他 域 称 为 子 域 。 域 树 的 层次 关系 直接 
表现 在 域 的 命名 方式 上 。 每 个 下 级 域 都 继承 了 上 一 级 域名 。 例 如 , 某 高 校 (Hqdx. com) 
下 面 有 教学 (Jiaoxue. hqdx. com) 和 培训 (Peixun. hqdx. com) 两 个 部 门 ,其 中 教学 部 下 有 管 
理 和 外 语 两 个 系 ,培训 下 面 有 招生 部 ,那么 就 可 以 通过 建立 域 树 来 描述 此 结构 ,如 图 1-37 
所 示 。 

注意 : 域 树 中 的 域 只 是 在 命名 方式 上 有 层次 关系 ,在 管理 权限 上 是 独立 的 管理 个 体 。 

(2) 域 林 

一 片 树林 自然 是 由 多 棵 树 组 成 的 ,同样 ,目录 林 也 是 由 多 个 目录 树 组 成 的 。 目 录 林 中 
的 域 并 不 共用 连续 的 名 称 空间 。 

当 一 个 企业 中 有 很 多 的 公司 ,每 个 公司 都 有 自己 的 域名 系统 时 ,就 不 能 把 这 些 有 着 完 
全 不 同 域名 系统 的 域 放 在 一 个 域 树 中 。 我 们 可 以 采用 域 林 解 决 这 个 问题 。 
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1-37 域 树 


比如 ,在 北京 的 一 个 A 公司 ,域名 为 A. com, 其 下 属 2 个 子 公司 ,域名 为 Sale. A. com 
和 Product. A. com; 在 上 海 有 一 个 BB 企业, 根 域 为 B. com, 其 下 属 2 个 子 公司 ,域名 为 
Sale. B. com 和 Product. B. com。 现 在 北京 的 A 公司 收购 了 上 海 的 BB 企业 ,但 BB 公司 有 一 
定 品牌 优势 ,在 社会 上 有 一 定 影 响 , 所 以 合并 后 ,不 想 改 变 BB 公司 的 域名 , 则 可 以 采用 域 林 的 
方法 。 这 些 Active Directory 域 本 身 的 结构 不 相同 ,名 称 也 不 相同 ,如 图 1-38 所 示 。 


dN 
八 1 B.com 六 
ph A.com \ 


Sale.B.com Product.B.com 


Sale.A.com Product.A.com 
图 1-38 域 林 


142 组 织 单 元 的 概念 


域 是 一 个 带 有 安全 边界 的 区 域 ,在 这 个 区 域 中 有 许多 的 资源 和 用 户 ,为 了 方便 对 这 些 
资源 和 用 户 的 管理 ,需要 将 资源 和 用 户 进 行 归 类 ,同一 类 的 放 在 一 起 。 组 织 单元 
(COrganizational Unit,OU) 便 是 引入 的 一 个 逻辑 单位 , 它 好 比 一 个 容器 ,将 各 种 对 象 , 如 用 
户 , 组 ,计算 机 和 其 他 组 织 单位 放 入 其 中 。 由 于 OU 层次 结构 局 限于 域 的 内 部 ,所 以 一 个 
域 中 的 OU 层次 结构 与 另 一 个 域 中 的 OU 层次 结构 完全 独立 。 

组 织 单元 具有 继承 性 , 子 单元 能 够 继续 父 单元 的 访问 许可 权 。 每 一 个 组 织 单元 可 以 
有 自己 单独 的 管理 员 并 指定 其 管理 权限 ,他 们 管理 着 不 同 的 任务 ,从 而 实现 了 对 资源 和 用 
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户 的 分 级 管理 。 组 织 单 位 是 可 以 指派 组 策略 设置 或 委 
派 管理 权限 的 最 小 作用 域 或 单元 。 用 户 可 在 组 织 单 位 


中 的 代表 逻辑 层次 结构 的 域 中 创建 容器 ,这 样 用 户 就 可 一 
以 根据 组 织 模型 管理 账户 ,进行 资源 的 配置 和 使 用 。 有 ES 
关 组 策略 设置 的 详细 信息 ,请 参见 第 2 章 。 财务 部 

域 A. com 中 ,有 很 多 用 户 ,用 户 可 以 根据 部 门 设置 过 | | 过 
不 同 的 组 织 单元 (OU) ,如 销售 部 门 OU、 生 产 部 门 OU、 销售 部 。 生产 部 
财务 部 门 OU ,如 图 1-39 所 示 。 把 用 户 放 到 这 些 不 同 的 A.com 
组 织 单元 中 ,就 可 以 集中 地 委派 管理 权限 和 指派 策略 图 1-39 组 织 单元 
设置 。 


143 组 的 概念 


简单 地 说 ,可 以 将 组 看 作 是 一 个 逻辑 单位 , 它 包 含 了 一 个 或 者 多 个 用 户 账户 ,也 可 以 
包含 其 他 的 组 。 管 理 员 将 对 每 个 资源 的 访问 权限 指派 给 这 个 组 ,而 不 是 直接 指派 给 具体 
的 用 户 , 那 么 ,任何 加 入 这 个 组 中 的 账户 或 者 其 他 组 ,也 都 具有 了 该 资源 的 访问 权限 。 组 
是 可 包含 用 户 、 计 算 机 和 其 他 组 的 活动 目录 或 本 机 对 象 。 使 用 组 可 以 控制 和 管理 用 户 和 
计算 机 对 活动 目录 对 象 及 其 属性 、 网 络 共享 位 置 .文件 .目录 ,打印 机 等 共享 资源 的 访问 ， 
还 可 以 向 一 组 用 户 发 送 电 子 邮 件 。 

下 面 介绍 Windows Server 2003 中 的 组 的 类 型 和 作用 域 。 

(1) 组 的 类 型 

在 Active Directory 中 有 两 种 类 型 的 组 : 通讯 组 和 安全 组 。 可 以 使 用 通讯 组 创建 电 
子 邮件 通讯 组 列表 ,使 用 安全 组 给 共享 资源 指派 权限 。 

安全 组 是 可 以 列 在 随机 访问 控制 列表 (DACL) 中 的 组 .DACL 列表 用 于 定义 对 资源 
和 对 象 的 权限 。 安 全 组 也 可 以 用 于 电子 邮件 实体 ,给 这 种 组 发 送 电 子 邮件 ,会 将 邮件 发 给 
组 中 的 所 有 成 员 。 

通讯 组 是 只 用 于 发 送 电子 邮件 并 且 没 有 启用 安全 性 的 组 。 不 能 将 通讯 组 列 在 用 于 定 
义 资 源 和 对 象 权 限 的 随机 访问 控制 列表 中 。 通 讯 组 只 能 与 电子 邮件 程序 (如 Exchange 
Server) 一 起 使 用 ,以 便 将 电子 邮件 发 送 到 用 户 集合 。 如 果 需 要 组 来 控制 对 共享 资源 的 访 
问 , 则 创建 安全 组 。 

安全 组 提供 了 一 种 有 效 的 方式 来 指派 对 网 络 上 资源 的 访问 权 。 使 用 安全 组 ,可 以 将 
用 户 权限 分 配 到 Active Directory 中 的 安全 组 ,也 可 以 对 安全 组 指派 用 户 权 利 以 确定 该 
组 的 哪些 成 员 可 在 域内 工作 。 

在 安装 Active Directory 时 ,系统 会 自动 将 用 户 权限 分 配给 某 些 安 全 组 ,以 帮助 管理 
员 定 义 域 中 人 员 的 管理 角色 。 例 如 ,在 Active Directory 中 被 添加 到 Backup Operators 
组 的 用 户 能 够 备份 和 还 原 域 中 每 个 域 控制 器 上 的 文件 和 文件 夹 。 在 默认 情况 下 ,系统 将 
备份 文件 和 目录 以 及 还 原文 件 和 目录 的 用 户 权 利 自动 指派 给 Backup Operators 组 ,因此 
该 组 的 用 户 继承 了 指派 给 该 组 的 用 户 权 利 。 

(2) 组 的 作用 域 

组 (不 论 是 安全 组 还 是 通讯 组 ) 都 有 一 个 作用 域 .用 来 确定 在 域 中 该 组 的 应 用 范围 。 
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Windows Server 2003 的 活动 目录 中 有 3 类 不 同 的 组 作用 域 : 通用 、 全 局 和 本 地 域 。 

本 地 域 组 。 本 地 域 组 的 成 员 包 括 Windows Server 2003 域 中 的 其 他 组 和 账户 。 本 地 
组 是 面向 资源 的 ,管理 员 将 网 络 访问 权限 赋予 本 地 组 ,凡是 加 入 到 该 本 地 组 的 所 有 成 员 的 
用 户 账户 或 者 其 他 组 就 具有 该 本 地 组 的 资源 访问 权限 。 

全 局 组 。 全 局 组 是 面向 用 户 账户 的 ,用 来 组 织 具 有 相同 权限 的 用 户 账户 。 通 常 把 同 
一 个 部 门 的 用 户 账 户 添加 到 一 个 全 局 组 中 。 全 局 组 的 成 员 可 以 是 用 户 账户 或 者 是 其 他 的 
全 局 组 。 全 局 组 可 在 本 域 和 有 信任 关系 的 其 他 域 中 使 用 ,体现 的 是 全 局 性 。 微 软 公司 建 
议 基于 组 织 结构 和 行政 结构 进行 规划 。 

通用 组 。 通 用 组 成 员 可 包括 域 树 或 林 中 任何 域 中 的 其 他 组 和 账户 ,而 且 可 在 该 域 树 
或 林 中 的 任何 域 中 指派 权限 。 简 单 地 说 ,通用 组 是 用 来 管理 ,组 织 多 个 域 的 用 户 的 。 通 用 
组 一 般 用 于 多 域 的 情况 ,通用 组 的 成 员 信息 保存 在 DC 中 。 尽 量 避 免 通 用 组 直接 包含 用 
户 账号 成 员 , 可 以 使 用 全 局 组 作为 通用 组 的 成 员 。 

例如 ,在 服务 器 上 有 一 个 名 为 “教务 处 ”的 文件 夹 ,需要 设置 其 访问 权限 。 该 文件 夹 中 
有 用 户 userl,user2,user3, 其 中 userl 属于 域 本 地 组 “教师 组 ”,user2 和 user3 属于 全 局 
组 “艺术 系 组 ”。 在 设置 权限 的 时 候 , 尽 量 针对 组 进行 赋 权 ,而 不 是 针对 用 户 赋 权 。 首 先 设 
置 “ 教 师 组 ”对 “教务 处 ”文件 夹 有 访问 权限 (一 般 把 对 资源 的 权限 赋予 给 本 地 域 组 ) ,这样 
userl 就 有 了 对 资源 的 访问 权限 (本 地 域 组 的 成 员 可 以 包括 账户 ); 然后 再 把 “艺术 系 组 ” 
设置 属于 “教师 组 "(本 地 域 组 的 成 员 也 可 以 包括 域 中 的 其 他 组 ) ,这样 “ 艺 术 系 组 ”中 的 所 
有 成 员 都 可 以 对 “教务 处 ”文件 夹 进行 访问 。 
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在 网 络 上 控制 不 同 用 户 访 问 权限 的 方法 是 为 用 户 设置 账户 .同时 提供 用 户 名 和 密码 。 
每 个 用 户 都 必须 有 一 个 账户 ,才能 利用 该 账户 登录 到 某 台 计算 机 ,访问 该 计算 机 内 的 资 
源 , 或 者 利用 账户 登录 到 域 ,访问 网 络 上 的 资源 。 

Windows 2003 所 支持 的 用 户 账户 分 为 两 种 类 型 : 本 地 用 户 账户 和 域 用 户 账户 。 本 
地 用 户 账户 前 面 已 经 介绍 过 了 ,这 里 不 再 重复 。 下 面 介绍 域 用 户 。 

域 用 户 账户 建立 在 域 控制 器 的 Active Directory 数据 库 内 。 用 户 可 以 利用 域 用 户 账 
户 来 登录 域 , 并 访问 网 络 上 的 资源 。 用 户 可 以 在 加 入 域 的 任何 计算 机 上 登录 域 (如 果 是 域 
控制 器 ,情况 比较 特殊 ,需要 该 域 用 户 属 于 特权 组 ), 系 统 会 把 用 户 提 供 的 密码 和 Active 
Directory 存储 的 该 用 户 的 密码 进行 比 对 .如 果 一 致 , 便 可 以 访问 域 中 的 资源 。 这 样 域 中 
的 所 有 计算 机 上 都 不 必 存 储 该 用 户 的 账户 。 这 是 一 种 集中 化 的 管理 方式 ,适用 于 用 户 、 计 
算 机 比较 多 的 情况 。 

例如 ,在 一 个 A. com 域 中 有 20 台 计 算 机 ,新 来 的 员工 小 张 需要 访问 这 20 台 计 算 机 
中 的 各 种 资源 。 如 果 采 用 本 地 账户 类 型 , 那 小 张 不 得 不 在 20 台 计 算 机 中 建立 20 次 “小 
张 ? 这 个 账号 ,而且 每 次 密码 最 好 相同 ,如果 不 同 ,小 张 ” 记 忆 起 来 比较 困难 。 即 使 在 
20 台 计 算 机 上 建立 了 账号 和 统一 的 密码 ,如 果 某 一 天 小 张 需要 更 改 自己 的 密码 ,就 不 得 
不 再 跑 到 这 20 台 计 算 机 前 ,进行 密码 更 改 工 作 。 显 然 ,对 于 20 台 计 算 机 的 环境 ,这 种 本 
地 账户 类 型 已 经 暴露 出 明显 的 次 端 ,如 果 企 业 计 算 机 是 100 台 .那么 采用 本 地 账户 类 型 简 
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直 是 场 无 法 部 署 的 工作 。 

针对 规模 比较 大 的 环境 ,一 般 采 用 域 的 模式 ,那么 账户 就 是 域 用 户 账户 。 还 举 上 面 
的 例子 ,小 张 只 需要 在 域 控制 器 (DC) 上 建立 自己 的 域 用 户 账 号 ,就 可 以 去 访问 这 20 台 
计算 机 的 资源 ,而 不 用 到 20 台 计算 机 上 分 别 设置 账号 ,减轻 了 工作 负担 ,提高 了 效率 。 
即使 以 后 小 张 为 了 安全 , 想 更 改 自 己 的 密码 ,也 只 需要 更 改 域 控制 器 中 存储 的 密码 
即 可 。 


1.5 活动 目录 的 安装 与 印 载 


151 活动 目录 的 安装 


通过 1.4 节 的 学 习 , 对 活动 目录 有 了 一 个 大 致 的 了 解 ,现在 可 以 进行 活动 目录 的 安装 
与 配置 了 。 活 动 目录 的 安装 配置 过 程 并 不 是 很 复杂 ,因为 系统 提供 了 安装 向 导 , 只 需 按 照 
提示 一 步 步 按 系统 要 求 设 定 即 可 。 但 安装 前 的 准备 工作 比较 复杂 ,只 有 充分 理解 了 活动 
目录 ,才能 正确 地 安装 配置 活动 目录 。 

1. 活动 目录 安装 前 的 准备 

活动 目录 是 Windows 2003 系统 中 的 一 个 关键 服务 , 它 不 是 孤立 的 , 它 与 许多 协议 和 
服务 有 着 非常 紧密 的 关系 ,还 涉及 整个 系统 的 系统 结构 和 安全 。 安 装 活动 目录 不 像 安装 
一 般 的 Windows 组 件 那么 简单 ,在 安装 前 要 进行 一 系列 的 策划 和 准备 。 

(1) 在 安装 活动 目录 之 前 ,必须 保证 已 经 有 一 台 计 算 机 安装 了 Windows Server 2003 , 且 
至 少 有 一 个 NTFS 分 区 ,而 且 已 经 为 TCP/IP 配置 了 DNS 协议, 并且 DNS 服务 支持 动态 更 
新 协议 。 

(2) 是 要 规划 好 整个 系统 的 域 结 构 。 活 动 目 录 可 包含 一 个 或 多 个 域 , 如 果 整 个 系统 
的 目录 结构 规划 得 不 好 ,层次 不 清 就 不 能 很 好 地 发 挥 活动 目录 的 优越 性 。 

(3) 要 进行 域 和 账户 命名 策划 。 因 为 使 用 活动 目录 的 意义 之 一 就 在 于 使 内 、 外 部 网 
络 使 用 统一 的 目录 服务 ,采用 统一 的 命名 方案 ,以 方便 网 络 管理 和 商务 往来 。 活 动 目录 命 
名 策略 是 企业 规划 网 络 系统 的 第 一 个 步骤 ,命名 策略 直接 影响 到 网 络 的 基本 结构 ,甚至 影 
响 网 络 的 性 能 和 可 扩展 性 。 活 动 目录 为 现代 企业 提供 了 很 好 的 参考 模型 , 既 考虑 到 了 企 
业 的 多 层次 结构 ,也 考虑 到 了 企业 的 分 布 式 特性 ,甚至 为 直接 接 人 Internet 提供 完全 一 致 
的 命名 模型 。 

(4) 要 设置 规划 好 域 间 的 信任 关系 。 在 域 树 中 创建 域 时 , 相 邻 域 ( 父 域 和 子 域 ) 之 间 
自动 建立 信任 关系 。 在 域 林 中 创建 域 时 ,在 域 林 根 域 和 添加 到 域 林 的 每 个 域 树 的 根 域 之 
间 自 动 建立 信任 关系 。 如 果 这 些 信 任 关系 是 可 传递 的 , 则 可 以 在 域 树 或 域 林 中 的 任何 域 
之 间 进 行 用 户 和 计算 机 的 身份 验证 。 

2. 安装 活动 目录 

下 面 介 绍 建立 整个 网 络 的 第 一 个 域 . 即 根 域 的 操作 步骤 。 

(1) 选择 “开始 ”>“ 运 行 ”命令 ,如 图 1-40 所 示 。 

(2) 在 “运行 ”对 话 框 的 “打开 ”文本 框 中 输入 dcpromo 命令 ,如 图 1-41 所 示 。 
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图 1-40 “运行 ”命令 图 1-41 输入 dcpromo 
(3) 在 弹出 的 “Active Directory 安装 向 导 ” 欢 迎 界面 中 ,如 图 1-42 所 示 , 单 击 * 下 一 


步 按 钮 。 
Active Directory 安装 疝 导 EE 


容 间 使 用 Active Directory 安装 向 


上 让 拉 全 和 有 在 该 偶 昌 务 遇 直 害 藉 .etiv。 
4 使 基 成 站 


加 果 您 是 第 一 次 安装 Active Directory, 建议 悠 先 阅 
于 Activsa Directory 帮助 里 的 概述 。 


要 继续 ， 请 单 击 “ 下 一 步 ”。 


IE 9 | 


“Active Directory 安装 向 导 ” 欢 迎 界面 


图 1-42 
(4) 设置 域 控 制 嚣 类型。 选择 “新 域 的 域 控 制 器 * 单 选 按钮 ,如 图 1-43 所 示 , 单 击 “ 下 
一 步 ” 按 钮 。 
(5) 选择 “在 新 林 中 的 域 ? 单 选 按钮 ,如 图 1-44 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 
(6) 为 新 域 指 定 域名 。 如 果 注 册 了 域名 ,就 输入 注册 域名 全 名 ,如 hqdx. com, 如 果 还 
没有 注册 域名 ,输入 local. host 以 示 区 别 ,如 图 1-45 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 
(7) 为 新 域 指定 NetBIOS 域名 。 默 认 值 是 DNS 名 最 左边 的 字符 串 , 通 常 选择 默认 


值 ,如 图 1-46 所 示 , 单 击 * 下 一 步 ? 按 钮 。 
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制 器 类 型 
请 指定 想 要 此 服务 器 担任 的 角色 。 


人 如 三 的 瑚 皖 抽 路 加 
此 四 娃 新 子 域 、 新 城村 或 新 林 。 此 服务 器 格 记 为 新 城中 的 第 一 


个 现 有 域 的 额外 域 控制 器 (4) 
公用 这 个 迹 项 来 处 理 格 会 删除 所 有 在 这 个 服务 器 上 的 本 地 帐户 。 
所 有 密 钥 格 访 删除 ,应 该 在 继续 之 前 格 密 钥 导 出 。 


人 ， 应 该 在 继续 之 前 解 
mw | 


1-43 ”设置 域 控制 器 类 型 


创建 一 个 新 域 
请 选择 要 创 哇 的 域 的 类 型 。 


让 新 域 成 为 现 有 i 
le 


个 在 现 有 的 林 中 的 域 衬 仙 


TT 请 选择 此 选项 。 这 桂 包 建 一 个 与 现 


全 | 


图 1-44 创建 新 域 


新 的 域名 
请 指定 新 域 的 名 称 。 


为 新 域 键 入 一 个 DNS 全 名 G0: 
headqnarters exanple microsoft. co) 


新 域 的 DRS 全 名 四) : 


《上 一 步 四 | 于 一 和 中 > 取消 


图 1-45 输入 域名 
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了 etBI0S 域名 
请 指定 新 域 的 BetBIOS 名 称 - 


区 和 提交 和 和 户 用 来 识别 新 域 的 。 单 击 “ 下 一 步 ” 接受 
域 WetBI0s 名 @)- Jbso7] 


《上 =- 步 四 到 滑 | 


图 1-46 为 新 域 指定 NetBIOS 域名 


(8) 指定 活动 目录 (AD) 数 据 库 和 日 志 的 存放 位 置 。AD 数据 库 和 AD 日 志 最 好 分 别 
存放 在 不 同 的 硬盘 上 ,可 获得 更 好 的 性 能 。 为 了 简化 ,也 可 以 选择 系统 给 出 的 默认 位 置 ， 
如 图 1-47 所 示 ,然后 单 击 “ 下 一 步 ”按钮 。 


数据 库 和 日 志文 件 文件 夹 
请 指定 放置 Aetive Direetory 数据 库 和 日 志文 件 的 文件 严 。 


其 于 最 佳 性 能 和 可 恢复 性 的 等 虑 ， 请 格 数 据 库 和 日 志 存放 在 不 同 的 硬 条 上 , 
您 希望 在 哪里 保存 Active Directory 数据 库 ?7 


数据 库 文件 来 @): 
FRI ME 四. 
您 项 望 在 哪里 保存 Active Directory 日 志 ? 

日 志文 件 夹 @) 

Fnmorsumns 浏览 .， 


mw | 


图 1-47 指定 活动 目录 (AD) 数 据 库 和 日 志 的 默认 的 存放 位 置 


如 果 想 调整 存放 位 置 ,可 单 击 “ 浏 览 ” 按 钮 进行 选择 ,如 图 1-48 所 示 。 

(9) 指定 共享 卷 SYSVOL 的 存放 位 置 . 如 图 1-49 所 示 。SYSVOL 文件 夹 存 放 域 中 
公共 文件 的 服务 器 副本 。SYSVOL 中 的 内 容 将 复制 到 域 中 所 有 的 域 控制 嚣 中。 创建 
SYSVOL 需要 用 NTFS 格式 化 的 卷 .如 果 没 有 用 NTFS 格式 化 的 卷 .或 者 没有 足够 的 磁 
盘 空 间 , 安 装 将 不 能 顺利 进行 。 然 后 单 击 * 下 一 步 ? 按 钮 。 

(10) 配置 DNS 服务 器 。 选 择 “ 在 这 台 计 算 机 上 安装 并 配置 DNS 服务 器 ,并 将 这 人 台 
DNS 服务 器 设 为 这 台 计 算 机 的 首选 DNS 服务 器 ” 单 选 按钮 ,如 图 1-50 所 示 , 单 击 “ 下 一 
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数 磊 库 和 日 老 文件 文件 夹 
请 指定 放置 Active Directory 数据 库 和 日 志文 件 的 文件 买 。 


图 1-48 指定 活动 目录 (AD) 数 据 库 和 日 志 的 新 的 存放 位 置 


图 1-49 指定 共享 卷 SYSVOL 的 存放 位 置 


图 1-50 配置 DNS 服务 器 
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注 : 此 步骤 是 Windows 2003 和 Windows 2000 的 不 同 之 处 ,在 Windows 2000 的 2 
AD 安装 过 程 中 只 是 提示 DNS 不 可 用 ,让 用 户 选 择 是 在 “本 机 安装 ”还 是 “事后 安装 ”。 

(11) 选择 用 户 和 组 对 象 的 默认 权限 。 建 议 选择 “只 与 Windows 2000 或 Windows 
Server 2003 操作 系统 兼容 的 权限 ” ,如 图 1-51 所 示 , 单 击 “下 一 步 ? 按 钮 。 


全 力 各 用 户 可 训 取 这 个 域 的 信息 。 
人 内 汪 而 naovs W000 要 Windovs Serve 2003 开放 系 玉 妆容 的 各 限 奉 ] 


加 ed 人 


《上 一 步 中 取消 


图 1-51 选择 用 户 和 组 对 象 的 默认 权限 


(12) 设置 目录 服务 还 原 模 式 的 管理 员 密码 。 当 活动 目录 数据 被 损坏 时 ,可 以 在 开机 
时 按 F8 键 , 进 入 目录 恢复 模式 ,可 重建 AD 数据 库 或 者 复制 原来 的 AD 数据 。 该 密码 是 
在 进入 目录 恢复 模式 时 所 需 的 密码 ,如 图 1-52 所 示 。 单 击 “ 下 一 步 ” 按 钮 。 


目 ET 


码 > 
“目录 服务 还 原 醒 式 ”下 启动 计算 机 时 使 用 。 Rg 


ph 谣 帐 户 是 该 服务 器 用 目录 服务 还 原 
让 帐户 的 密码 可 能 不 同 ， 所 以 一 定 要 


还 原 模式 密码 E); Fa 
确认 窗 码 CC); = | 


sw [TBD] my 


1-52 设置 目录 服务 还 原 模式 的 管理 员 密 码 


(13) 检查 并 确认 选 定 的 选项 。 对 话 框 中 显示 前 面 所 做 的 设置 ,如 果 没 有 改变 ,可 单 
击 * 下 一 步 ?按钮 ,系统 开始 安装 活动 目录 ,如 图 1-53 和 图 1-54 所 示 。 

(14) 最 后 出 现 “ 完 成 安装 ”窗口 .如 图 1-55 所 示 , 单 击 “ 完 成 ”按钮 完成 活动 目录 的 
安装 。 


计算 机 网 络 管理 与 安全 


靳 要 
请 复查 并 确认 选 定 的 选项 。 


你 选择 Q); 

洲 这 个 服务 器 配置 成 新 域 林 中 的 第 一 个 域 控 制 器 - < 
新 域名 格 为 hadx. com。 这 也 是 新 林 的 名 称 。 

城 的 BetBIOS 名 梅 为 HQDX 


i 了 os 


C: WINDOWS\SISYOL 


汪汪 服务 。 将 有 置 这 台 计 算 机 使 用 此 DRS 


要 更 改选 项 , 单 击 “ 上 一 步 ”。 要 开始 操作 ， 单 击 “ 下 一 步 ”。 
mem 


图 1-53 复查 并 确认 选 定 的 选项 


到 


i 
搜 要 

请 复查 并 确认 过 定 的 选项 - 

悠 选择 QD) 

将 这 个 服务 器 配置 成 新 碱 林 中 的 第 一 个 域 控 抽 路。 习 

新 域名 格 为 hatx com。 这 也 是 新 二 Ji 和 51 

拓 的 NotBIos 名 格 为 

和 c: 江 [| Active Directery。 根 据 悠 所 选 的 选项 ， 此 过 程 可 能 要 花 几 分 


上 - 
要 更 改选 项 ， 单 击 “ 上 
正在 凶 建 系统 卷 5; WINDOYS\SYSYOL 


取消 


图 1-54 向 导 开 始 安装 Active Directory 


Active Directory 安装 身 导 ES 
芋 完成 Active Directory 安装 向 


已 在 运 癌 计算 机 上 为 hadx con 藉 安 装 了 hctive 加 | 


Directory» 
格 此 域 控制 器 分 配 结 Defsul t-First-Site-Nme 


点 。Active Directory 站 点 和 服 : 具 会 
人 tory 务 管理 工 | 


要 关闭 此 向 导 ， 请 单 击 “完成 ”。 


图 1-55 安装 完成 
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(15) 重新 启动 Windows。 单 击 * 立 即 重 
新 启动 ”按钮 ,如 图 1-56 所 示 。 只 有 重新 启 rbd sl 
动 ,Active Directory 安装 向 导 所 做 的 设置 才 

(16) 重新 启动 后 , 单 击 “ 开 始 ”一 “程序” 一 
“管理 工具 ”命令 ,可 以 看 到 “管理 工具 ”菜单 
中 增加 “Active Directory 用 户 和 计算 机 ”、“Active Directory 域 和 信任 关系 ”和 “Active 
Directory 站 点 和 服务 ”3 项 ,表示 AD 安装 成 功 , 如 图 1-57 所 示 。 

“Active Directory 用 户 和 计算 机 ”主要 
用 于 实施 对 域 的 管理 ;“Active Directory 域 
和 信任 关系 ”主要 用 于 管理 多 域 的 关系 ; 
“Active Directory 站 点 和 服务 ”一 个 是 活 


站 不 立即 重新 启动 ) 


1-56 重新 启动 


地 hctive Directory 用 户 和 计算 机 
8 Aetive Directory 域 和 信任 关系 
用 Mtive Directory 站 点 和 服务 


总 0 
| 


Ci 我 的 电脑 Ed a Frmework 1 1 向 导 

a a 动 目录 的 域 和 域 信任 关系 的 管理 ,还 有 一 

[ET :se 个 是 活动 目录 的 站 点 管理 ,可 以 把 域 控制 

Oe me 器 置 于 不 同 的 站 点 。 在 一 般 局 域 网 的 范围 

i ee 内 ,为 一 个 站 点 内 的 域 控制 器 之 间 的 复制 

Ds 2 是 自动 进行 的 ; 站 点 间 的 域 控制 器 之 间 的 

下 ee 复制 需要 管理 员 设 定 ,以 优化 复制 流量 , 提 
Mee 高 可 伸缩 性 。 在 活动 目录 管理 界面 中 ,还 
信人 可 以 右 击 站 点 、 域 和 组 织 单元 ,启动 组 策略 
a (Group Policy) 的 管理 界面 ,实施 对 对 象 的 

ES tad 细致 管理 。 

ee env wnsese 对 于 站 点 , 域 和 组 织 单元 ,管理 员 还 可 


以 方便 地 进行 管理 授权 。 右 击 需 要 管理 授 
权 的 站 点 、 域 和 组 织 单 元 就 可 以 启动 管理 
授权 向 导 , 一 步 一 步 地 设 定 哪些 管理 员 对 于 哪些 对 象 有 什么 样 的 管理 权限 。 例 如 ,企业 内 
部 技术 支持 中 心 的 管理 员 , 只 有 复位 用 户口 令 的 权限 ,没有 创建 和 删除 用 户 账号 的 权限 。 
这 种 更 细致 的 管理 方法 称 为 “颗粒 化 ”。 

另外 ,活动 目录 还 充分 地 考虑 到 了 备份 和 恢复 目录 服务 的 需要 ,Windows 2003 备份 
工具 中 有 专门 备份 活动 目录 的 选项 ,在 出 现 意 外 事故 的 时 候 .可 以 在 计算 机 启动 时 按 F8 
键 进入 安全 恢复 模式 ,保证 减少 灾难 的 恶性 影响 。 

152 活动 目录 的 卸载 

(1) 选择 “开始 ”一 运行 ”命令 ,如 图 1-58 所 示 。 

(2) 在 “打开 ”文本 框 中 输入 dcpromo, 单 击 “ 确 定 ” 按 钮 ,如 图 1-59 所 示 。 

(3) 出 现 *“Active Directory 安装 向 导 ? 界 面 , 单 击 * 下 一 步 ? 按 钮 ,如 图 1-60 所 示 。 

(4) 因为 这 台 计 算 机 是 hqdx. com 的 域 控 制 器 .是 一 个 全 局 目录 服务 器 ,所 以 出 现 一 
个 提示 对 话 框 。 单 击 “ 确 定 ” 按 钮 ,如 图 1-61 所 示 。 


图 1-57 安装 AD 后 ,“ 管 理工 具 ” 菜 单 中 增加 的 项 目 


二 目 巷 理 妈 的 服务 器 ~ she 


Windors 资源 各 理 器 [Bd » 


打开 一 个 程序 、 文 件 来、 六 返 行 到 x| 
请 | > TInter 
0 区 
所 有 程序 @) 打开 四 ): [acprond 可 


园 zaww 回 x 


| 机 四。 | 国 c wonors\te | Cme | we | wsw. | 


图 1-58 “运行 ”命令 


输入 dcpromo 


etive Directory 安装 疯 导 EA 
迎 使 用 Active D 坟 ectory 安装 向 


中 办 


加 果 删除 人 ctive Directory， 这 各 计算 机 会 成 为 一 个 
独立 或 域 成 员 服 务 器 。 


要 继续 ， 请 单 击 “下 一 步 ”。 


一 8 取消 


图 1-60 “Active Directory 安装 向 导 ” 界 面 


EEC | 
欢迎 使 用 Active Directory 安装 向 


ctive Direetory 城 控制 器 。 可 
上 的 Act ve Directsry 


| 
BB 
手 


了 Active Directery， 这 台 计 算 机 会 成 为 一 个 
或 域 成 员 服务 器 。 


i) ennaep ep tt 


图 1-61 提示 此 域 控制 器 是 全 局 目录 服务 器 
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(5) 指明 这 个 域 控制 器 是 否 是 域 中 最 后 一 个 域 控制 器 。 如 果 这 个 域 控制 器 是 域 中 的 ”29 
最 后 一 个 域 控制 器 ,选择 “这 个 服务 器 是 域 中 最 后 一 个 域 控 制 器 " 复 选 框 , 单 击 “ 下 一 步 ” 
按钮 。 如 果 这 个 域 控制 器 不 是 域 中 最 后 一 个 域 控制 器 , 则 直接 单 击 * 下 一 步 ? 按 钮 ,如 
图 1-62 所 示 。 


Active Direct. 
一 个 域 控制 器 ， 则 


7 滞 不 服 营 串 重 环 让 将 
& 证 人 和 Active Directery 后 ， 域 就 不 再 存 
属于 这 个 域 的 计算 机 不 能 痘 录 到 域 或 访问 任何 域 服务 。 


将 山 除 此 域 中 的 所 有 用 户 帐 尸 。 
所 有 密 钼 格 被 册 除 ， 并 且 应 该 在 继续 之 前 导出 
人 束 电 子 邮 件 ， 应 该 在 继 经 之 前 解密 ， 


上 [本 可。 了 


图 1-62 指明 这 是 否 是 域 中 最 后 一 个 域 控制 器 


(6) 出 现 “ 应 用 程序 目录 分 区 ”窗口 ,这 是 由 于 一 些 应 用 程序 在 活动 目录 中 创建 了 一 
些 分 区 和 存储 了 一 些 数据 。 单 击 * 下 一 步 "按钮 ,如 图 1-63 所 示 。 


应 用 程序 目录 分 区 
应 用 程序 包 际 这 些 分 区 用 来 储存 和 复制 数据 . 


这 个 域 控制 器 保留 下 列 应 用 程序 目录 分 区 的 最 后 副本 由) : 


-描述 
DC=DomainDnsZones, DC=hadx, DC. .. Microsoft DNS Directory 
DC=PoresthnsZones, DC=hadx, IC. .. Microsoft DNS Directory 


R 更 新 列表 QD 
人 有 关 详细 信 


如果 要 向 导 山 除 这 个 域 控制 器 的 所 有 分 区 ， 请 单 击 “ 下 一 步 ”。 


《上 一 步 四 [下 - 步 四 ?取消 


1-63 ”应 用 程序 目录 分 区 


(7) 确认 删除 。 选 择 “ 删 除 这 个 域 控制 器 上 的 所 有 应 用 程序 目录 分 区 ” 复 选 框 , 单 击 
“下 一 步 ” 按 钮 ,如 图 1-64 所 示 。 

(8) 出 现 * 管 理 员 密码 ”窗口 .如 图 1-65 所 示 。 因 为 这 台 计 算 机 是 域 控制 器 ,只 要 有 
域 用 户 的 账号 和 密码 ,卸载 活动 目录 后 , 域 用 户 将 消失 .所 以 这 里 要 求 用 户 输入 和 印 载 域 后 
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删除 Active Directory 梅 从 这 个 域 控制 器 删除 所 有 应 用 程序 分 区 。 


包 时 人 用 得 序 昌 录 分 区 - 向 导 完 成 时 ， 所 


订 于 陈 这 个 碱 控 制 器 上 的 所 有 应用 程序 自 录 分 区 @)。]} 
从 扫 给 入 个 刘 用 各 六 区 的 最 后 “个 副本 合 遇 承 所 有 限 这 个 必 区 要 关隘 的 


《上 一 步 四 ) 取消 


图 1-64 确认 删除 域 控 制 器 


阁 理 员 密码 


请 指定 管理 员 的 密码 

请 输入 要 分 配给 服务 器 管理 员 帐 尸 的 富 码 。 
新 管理 员 密码 中) : [rs 发 
确认 密码 5): Je 


< 上 -和 步 四 [2 引  m 少 | 


图 1-65 ”输入 卸载 活动 目录 后 计算 机 的 管理 员 密 码 


的 本 机 管理 员 的 密码 。 密 码 要 求 由 数字 .字母 和 特殊 符号 组 成 ,这 样 的 密码 比较 安全 。 单 
击 “ 下 一 步 ?按钮 。 

注 : 如 果 密 码 设置 比较 简单 , 则 不 能 继续 到 下 一 个 步骤 。 

(9) 复查 并 确认 选 定 的 选项 。 对 话 框 中 显示 了 用 户 选 择 的 选项 ,如 果 不 需 要 更 改选 
项 ,可 单 击 “下 一 步 ? 按 钮 ,系统 开始 印 载 活 动 目录 ,如 图 1-66 所 示 。 

(10) Active Directory 的 印 载 过 程 根据 计算 机 的 配置 不 同 ,一 般 要 持续 一 定时 间 , 如 
图 1-67 所 示 。 

(11) 最 后 出 现 完 成 Active Directory 安装 向 导 窗 口 , 单 击 “ 完 成 ”按钮 ,如 图 1-68 
所 示 。 

(12) 单 击 “ 立 即 重新 启动 ”按钮 ,如 图 1-69 所 示 , 完 成 活动 目录 的 印 载 。 
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31 
请 复查 并 确认 过 定 的 选项 。 
本 EWN Retrve Tireetery E 可 


已 指明 这 个 域 榨 制 器 是 hadr cem 域 中 的 最 后 一 个 控制 器 
[has 后， 这 个 域 就 不 再 存在 了 。 
辽 个 城 控 制 器 上 的 所 有 应 用 程序 目录 分 区 部 村 六 贡院 。 


ee 目录 分 区 的 最 后 副本 。 册 除 换 作 完 


| 


要 更 改选 项 ， 单 击 “ 上 一 步 ”。 要 开始 操 作 ， 单 击 “ 下 一 步 ”。 
《上 一 步 中 取 少 


图 1-66 确认 印 载 


Active Directory 安装 向导 ”“ 


菊 要 
请 复查 并 确认 过 定 的 选项 。 


悠 渤 摊 QD) 
和 这 各 计算 机 上 于 阶 Active Directory。 可 


已 指明 这 个 域 控制 器 是 hade "om 城中 


CT 
ee tory。 要 更 你 Wi 的 池 项 ， 此 过 程 可 能 要 花 几 分 


让 


| 四 
要 更 改选 项 ， 单 而 “上 要 


正在 准备 降级 目录 服务 


图 1-67 印 载 过 程 


Active Directory 安装 向 导 革 
要 在 完成 Active Directory 安装 向 


尼 肥 这 各 计算 机 下 贡 且 Acetive Directory。 司 


要 关闭 此 向 导 ， 请 单 击 “完成 


图 1-68 ”种 载 完 成 
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1-69 重新 启动 


1.6 本 章 小 结 


本 章 主 要 介绍 了 网 络 操作 系统 的 概念 ,讲解 了 在 操作 系统 的 干预 下 各 种 网 络 的 工作 
模式 的 特点 及 主要 构成 形式 ,同时 介绍 了 如 何 用 Windows XP 进行 对 等 网 组 网 以 及 活动 
目录 的 安装 与 卸载 。 活 动 目录 是 进行 域 模式 管理 的 基础 ,其 中 包含 的 概念 希望 读者 理解 
与 掌握 。 域 模式 将 在 第 2 章 进行 使 用 。 


1.7 本 竟 习 题 


. 说 明 工作 组 模式 管理 和 域 模式 管理 各 自 的 优 缺 点 及 适应 场合 。 
. 域 在 活动 目录 中 起 什么 样 的 作用 ? 

， 比较 组 和 组 织 单位 在 使 用 场合 上 的 区 别 。 

在 局 域 网 的 硬件 环境 已 完成 的 情况 下 ,用 Windows XP 组 网 。 
. 说明 本 地 用 户 和 域 用 户 在 局 域 网 环境 下 的 区 别 。 


oa 


”第 2 章 
Windows Server 2003 域 模式 下 管理 


【本 章 内 容 】 

本 章 主要 介绍 Windows Server 2003 在 单 域 模式 下 的 管理 方法 与 手段 。 通 过 使 用 
活动 目录 提供 的 管理 工具 ,运用 域 \ 用 户 、 组 组 织 单位 组 策略 等 概念 完成 对 网 络 中 的 资 
源 和 用 户 的 管理 。 和 希望 读者 体会 这 种 先进 的 管理 思想 与 技术 ,并 能 在 实践 中 自觉 使 用 。 
【本 总 重点 】 

@ 理解 使 用 活动 目录 进行 局 域 网 管理 的 基本 思想 。 

回 掌握 用 户 、 组 、 组 织 单位 设置 和 管理 方法 。 

@ 掌握 组 策略 的 概念 。 

图 学 会 用 组 策略 对 用 户 和 计算 机 进行 管理 。 

@@ 了 解 域 . 组 织 单位 、 组 之 间 的 区 别 。 

GO 通过 实例 的 训练 ,掌握 对 局 域 网 管理 的 实际 操作 方法 。 


第 1 章 介绍 了 Windows 2003 的 工作 模式 ,并 在 对 等 网 模式 下 介绍 了 对 局 域 网 的 管 
理 。 本 章 将 详细 介绍 在 单 域 模式 下 对 局 域 网 的 管理 。 前 提 条 件 是 已 经 在 网 络 服务 器 上 安 
装 Windows Server 2003 并 配置 了 活动 目录 。 对 于 多 域 等 复杂 情况 ,请 读者 参照 有 关 资 
料 进行 学 习 。 


2.1 设置 和 管理 用 户 与 组 


第 1 章 已 经 就 Windows Server 2003 不 同 的 网 络 系统 构架 方式 进行 了 详细 的 分 析 与 
系统 的 建立 ,并 在 建立 的 系统 中 完成 了 用 户 和 组 的 设置 与 管理 工作 。 本 地 机 模式 下 的 用 
户 与 组 的 管理 ,如 图 2-1 所 示 。 这 时 ,每 台 计 算 机 所 构成 的 管理 模式 均 是 以 当前 计算 机 为 
主 , 所 有 对 本 计算 机 的 访问 和 控制 都 要 通过 本 地 管理 员 账 户 完 成 ,这 个 管理 员 账户 就 是 系 
统 提供 的 默认 账户 administrator 和 管理 员 组 administrators ,网络 中 其 他 用 户 对 当前 计 
算 机 的 访问 设置 也 要 在 本 地 机 中 由 管理 员 账 户 完成 。 

在 一 个 小 型 网 络 中 ,计算 机 数量 和 用 户 数量 有 限 ,管理 员 还 能 够 承担 相应 的 工作 ,这 
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EEETTEE 


管理 计算 机 ( 域 ) 的 内 置 帐户 
供 来 宾 访问 计算 机 或 访问 域 的 内 … 
IUSR_LD20005 。 Internet 来 宾 帐号 匿名 访问 Internet 信息 服务 的 内 … 


Iwam_ LD20005 局 动 H5 进程 帐号 启动 进程 之 外 的 应 用 程序 的 Inter.… 
Upuo 
[ry 

NetShowServ.,， Windows Media 服务 在 此 ..， Windows Medis 服务 在 此 帐户 下 运行 

TsInternetUser TsInternetUser 这 个 用 尸 帐 尸 被 终端 服 务 所 使 用 。 
WxY 


ee 
2-1 本 地 机 模式 下 的 用 户 与 组 的 管理 


时 管理 员 要 在 服务 器 上 为 每 一 位 访问 该 计算 机 的 用 户 设置 相关 管理 信息 ,这 些 管理 信息 
包括 对 本 地 机 的 所 有 的 安全 方面 的 设置 。 随 着 用 户 对 计算 机 使 用 需求 的 增加 和 改变 , 相 
关 的 管理 工作 会 越 来 越 复杂 。 
例如 , 现 有 一 个 安装 了 Windows Server 
2003 网 络 操作 系统 的 网 络 环境 ,如 图 2-2 R3 
在 图 2-2 中 ,C 代表 计算 机 ,R 代表 计算 
机 用 户 。 当 每 台 计 算 机 和 每 个 用 户 构架 出 。“! > 本 
一 个 网 络 环境 时 ,用 户 之 间 就 要 进行 资源 的 
共享 和 信息 的 传递。 
当 用 户 R2、R3、R4 要 使 用 计算 机 C1 的 全 
资源 时 ,必须 由 Cl 的 管理 员 R1 完成 指定 用 c4 一 
户 (R2、R3、R4 等 ) 在 本 地 计算 机 上 的 设置 。 图 2-2 本 地 机 模式 下 的 用 户 对 计算 机 的 管理 
如 图 2-3 所 示 。 


图 2-3 C1l 计算 机 管理 员 R1 对 要 访问 该 计算 机 的 用 户 进行 设置 
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当 R1 完成 这 些 设置 后 ,这 些 用 户 才能 在 计算 机 C1 上 使 用 权限 所 允许 的 功能 。 在 这 185 
里 ,使 用 计算 机 Cl 的 用 户 只 是 有 限 的 几 个 用 户 ,Cl 的 管理 员 可 以 完成 相应 的 管理 工作 。 
如 果 每 台 计 算 机 都 有 成 百 上 千 个 用 户 . 对 每 台 计 算 机 的 管理 员 来 说 将 是 一 场 灾难 ,因为 每 
个 管理 员 要 在 自己 的 计算 机 上 完成 对 要 访问 自己 计算 机 的 所 有 用 户 的 管理 设置 ,这 个 工 
作 量 将 是 繁杂 重复 的 ,如 图 2-4 所 示 。 
为 此 ,引入 域 模式 进行 管理 。 


图 2-4 每 台 计算 机 管理 员 对 所 有 要 访问 本 地 计算 机 的 用 户 进行 设置 


211 域 模式 下 用 户 的 设置 与 管理 


1. 域 模式 管理 原理 

微软 公司 在 其 网 络 操作 系统 中 采用 了 域 模 式 来 改变 原 有 的 管理 模式 ,提高 管理 效率 。 
在 第 1 章 已 经 就 域 模式 下 的 计算 机 管理 系统 做 了 详细 的 介绍 ,其 核心 就 在 于 将 计算 机 加 
入 到 一 个 指定 的 逻辑 单元 一 一 域 中 ,然后 对 加 入 其 中 的 计算 机 实现 统一 、 高 效 的 管理 ,对 
整个 网 络 系统 中 的 计算 机 、 用 户 、 资 源 进行 了 重新 的 整合 .使 其 在 管理 方式 上 发 生 了 根本 
性 的 改变 。 

在 域 模式 的 管理 体系 下 ,整个 网 络 管理 经 过 以 下 4 个 过 程 实现 对 加 入 域 的 所 有 计算 
机 和 所 有 用 户 进行 综合 管理 。 

(1) 建立 一 个 域 服务 器 ,如 图 2-5 所 示 。 

(2) 将 被 管理 的 计算 机 加 入 到 域 中 ,如 图 2-6 所 示 。 


图 2-5 ”建立 域 和 域 管理 员 
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2-6 ”将 计算 机 加 入 到 指定 的 域 中 


(3) 使 用 域 下 的 管理 员 账 户 建立 新 的 用 户 , 如 图 2-7 所 示 。 


例 域 管理 员 
多 多 
- 役 账 户 
图 2-7 域 管理 员 在 域 中 任何 计算 机 中 创建 账户 


(4) 在 域 中 通过 任何 计算 机 对 域 中 任何 账户 实现 设置 管理 ,如 图 2-8 所 示 。 

从 以 上 步骤 和 图 示 中 可 以 看 出 , 当 计算 机 加 入 到 域 成 为 域 模式 下 的 一 台 客户 机 时 , 针 
对 该 计算 机 的 管理 和 针对 用 户 的 管理 一 下 子 就 变 得 简单 了 .最 终 所 有 的 用 户 都 可 以 通过 
任意 指定 的 计算 机 访问 任意 计算 机 上 的 文件 
夹 , 且 可 运行 权限 允许 的 可 执行 文件 。 

2. 域 模式 下 用 户 设 置 

当 一 台 计 算 机 成 为 域 控制 器 时 ,或 者 当 一 
台 计 算 机 加 入 的 域 成 为 域 模式 下 的 一 台 客 户 
机 时 ,每 台 计 算 机 中 的 账户 信息 将 发 生 改 变 。 

(1) 在 域 控制 器 中 ,原本 地 账户 已 经 不 能 
使 用 了 。 因 为 ,原本 地 管理 员 的 账户 继续 存在 
将 有 可 能 破坏 域 服务 器 ,因此 对 域 控制 器 的 管 
理 和 控制 交 由 域 控制 器 管理 员 完 成 。 进 入 域 
控制 器 管理 界面 的 命令 方法 如 图 2-9 所 示 。 

当 域 管理 员 登 录 域 控制 器 时 ,在 域 控制 器 
中 出 现 了 新 的 账户 管理 界面 。 选 择 * 开 始 ” 一 
“程序 ”>“ 管 理工 具 ” 后 出 现 了 新 的 功能 选项 
“Active Directory 用 户 和 计算 机 ”, 如 图 2-10 
所 示 ,选择 该 命令 可 进入 域 控制 器 账户 的 管 
理 界面 。 


图 2-8 域 中 用 户 通 过 域 中 任何 客户 机 访问 
权限 允许 的 任何 文件 夹 
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etive Direetery 域 和 信任 和 
用 hetive Directory 站 上 和 和 要 | 久 对 


| 加 | wv | 可 加 多 3 
图 2-9 域 控制 器 管理 界面 
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区 Internet 验证 Qo5 许可 控制 。 Server 。 Telnet 服务 器 。 WIN5 ”本 地 安全 第 
Fi Whdows 服务 Extensions … 管理 略 
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Es 加 
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(2) 通过 客户 机 进入 域 控制 器 前 ,系统 
出 现 两 个 进入 选项 ,一 个 是 本 地 机 进入 选项 ， 
一 个 是 域 控 制 器 选项 ,如 图 2-11 所 示 。 客 户 
机 如 果 不 进入 域 则 选择 本 地 机 选项 ,如 果 进 
入 域 则 选择 域 选 项 。 作 为 客户 机 的 本 地 管理 
账户 ,仍然 保留 对 本 地 计算 机 控制 的 权力 。 

(3) 域 模式 下 的 默认 账户 。 在 域 控制 器 
中 ,与 本 地 机 情况 相同 ,存在 着 系统 创建 的 默 
认 上 账户 ,这 些 账户 有 其 特定 的 功能 与 权限 ,如 
图 2-12 所 示 。 图 2-11 客户 机 开机 界面 


| 
志文 件 四 指 作 名， 查看 WD 窗口 WD 于 助 和 D | 
包销 | 旬 | 四 | 中 | 略 | 旬 | 没 雇 徊 了 GT 
Active Directory 用 | Users ”17 个 对 得 


管理 计算 机 ( 域 ) 的 内 置 帐 户 


Adninistrator 


Hiltin Cort Publishers 安全 租 - 本 地 域 此 组 的 成 员 被 区 许 发 行 证 书 ., 
国 Conputers DnsAdnins 安全 组 - 本 地 域 DNS 管理 员 组 
田 图 Donain centre| 给 masupaateproxy 安全 组 - 全 局 交 许 车 其 地 客户 篇 INCP_ 
Eroreigseeuri| Boomsin Aanins 安全 组 - 全 局 指定 的 域 管理 
Dh Domsin Conputers 安全 组 - 全 局 加 入 到 | 城中 的 所 有 工作 站 和 
Domain Controllers 安全 组 - 全 局 域 中 所 有 域 控制 器 
Domain Guests 安全 组 - 全 局 域 的 所 有 来 宾 
Domain Users 安全 组 - 全 局 所 有 城 用 户 
Enterprise Adnins 安全 组 - 全 局 企业 的 指定 系统 管理 员 
group Policy Creator 安全 组 - 全 局 这 个 组 中 的 成 员 可 以 修改 域 ., 
Guest 用 户 供 来 宾 访 问 计算 机 或 访问 域 
HelpServicesGroup 安全 钥 - 本 地 域 帮助 和 支持 中 心 组 
RAS and IAS Servers 安全 组 - 本 地 域 这 个 姐 中 的 服务 器 可 以 访问 . 
Schema Adnins 安全 组 - 全 局 架构 的 指定 系统 营 理 员 
SUFFORT_388945a0 用 户 这 是 一 个 帮助 和 支持 服务 的 
TelnetClients 安全 组 - 本 地 域 本 组 的 成 员 可 以 访问 此 系统 
: | 


中 2 ol: 
图 2-12 域 控制 器 默认 账户 


对 其 中 重要 账户 解释 如 下 : 

OO Domain Admins( 域 管理 员 ) 用 于 域 范围 内 的 管理 ,拥有 最 高 权限 。 

@ Administrator( 本 地 ( 域 控制 器 ) 管 理 员 ) 用 于 计算 机 ( 域 ) 内 置 账户 的 管理 。 

(4) 域 模式 下 的 账户 建立 ,在 已 经 安装 完 活动 目录 并 且 成 为 域 控制 器 的 服务 器 中 ,其 
用 户 是 通过 “Active Directory 用 户 和 计算 机 ?创建 的 。 具 体操 作 步 又 如 下 : 

Q@ 打开 “Active Directory 用 户 和 计算 机 ”窗口 ,在 控制 台 下 右 击 User 容器 .在 弹出 
的 快捷 菜单 中 选择 “新 建 ”>“ 用 户 ” 命 令 , 如 图 2-13 所 示 。 

@ 在 “新 建 对 象 一 用 户 ” 对 话 框 中 输入 用 户 的 姓名 及 用 户 登 录 信 息 , 如 图 2-14 所 示 。 

注意 : 在 输入 账户 信息 时 ,可 以 输入 中 文 作为 用 户 登 录 名 。“ 用 户 登 录 名 ”文本 框 中 
输入 的 名 字 是 该 账户 登录 域 时 使 用 的 名 字 .“ 姓 ”“ 名 ”文本 框 中 输入 的 内 容 只 是 作为 账户 
登录 信息 ,与 登录 域 时 输入 的 账号 无 关 。 
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图 2-13 新 账户 创建 


@ 单 击 “ 下 一 步 ? 按 钮 为 用 户 设置 密码 ,其 操作 与 第 1 章 建立 账户 的 操作 相同 ,按照 
中 文 向 导 操 作 提 示 进 行 设 置 , 如 图 2-15 所 示 。 
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图 2-14 输入 用 户 信息 


图 2-15 输入 账户 信息 


注意 : 建议 密码 不 要 设置 成 有 规律 的 字母 ,因为 这 样 的 密码 极 易 被 网 络 攻击 者 猜 中 ， 


降低 了 网 络 的 安全 防范 能 力 。 


在 建立 密码 后 对 话 框 中 有 4 个 用 来 表示 密码 的 设置 方式 的 复 选 框 。 

““ 用 户 下 次 登录 时 须 更 改 密码 ?表示 该 账户 第 一 次 登录 域 中 的 计算 机 时 ,系统 要 求 
用 户 必须 更 改 密码 ,这样 保证 用 户 自己 掌握 自身 账户 的 密码 。 

*““ 用 户 不 能 更 改 密码 ?表示 用 户 自 己 没 有 权利 对 自身 账户 密码 进行 修改 ,必须 通过 


域 控 制 器 管理 员 来 完成 。 
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“密码 永 不 过 期 "表示 账户 设置 的 密码 不 会 因 系 统 默 认 的 密码 有 效 期 到 期 而 要 求 
用 户 修改 ,密码 始终 有 效 。 

“账户 已 停 用 ”表示 当前 账户 如 果 不 能 在 域 中 继续 使 用 ,可 以 使 账户 停 用 ,而 不 是 
删除 账户 信息 。 

3. 域 模式 下 的 账户 的 管理 

在 基于 域 模式 下 的 Windows Server 2003 的 账户 信息 变 得 异常 丰富 , 域 管理 员 被 赋 
予 了 极 大 的 权力 ,对 于 所 有 加 入 到 域 中 用 户 的 账户 信息 都 要 进行 管理 和 维护 ,而 账户 信息 
将 被 域 中 所 有 有 权 需 要 账户 信息 的 各 个 部 门 所 使 用 。 从 这 点 可 以 看 出 ,对 域 模式 下 的 账 
户 管理 涵盖 了 用 户 的 诸多 信息 ,如 图 2-16 所 示 。 

(1) 设置 账户 属性 

在 第 1 章 已 经 就 针对 账户 的 一 般 性 维护 做 了 介绍 ,下 面 介 绍 基于 域 模式 下 的 账户 属 
性 中 的 特殊 部 分 。 在 账户 属性 对 话 框 中 有 16 个 选项 卡 ,涵盖 了 上 账户 的 大 部 分 信息 ,下 面 
分 别 介绍 。 

QO@ “常规 ” “地址 ”“ 电 话 ”“ 单 位 ”选项 卡 中 的 信息 是 账户 的 个 人 信息 ,用 于 拥有 权 
限 的 账户 查询 ,如 图 2-16 所 示 。 

@“ 账 户 ” 选 项 卡 的 上 半 部 分 与 原 普 通 账 户 信 息 没 有 区 别 , 但 下 半 部 分 包括 了 众多 的 
信息 ,如 图 2-17 所 示 。 在 域 控制 器 管理 的 网 络 系统 中 ,所 有 的 账户 可 以 被 限制 在 以 5 种 
方式 进入 系统 和 运用 系统 ,这 种 限制 归纳 为 5 个 指定 , 即 : 

。 指定 的 账户 一 一 用 户 进 入 计算 机 的 凭证 。 

。 指定 的 计算 机 一 一 用 户 从 指定 的 计算 机 进入 系统 。 

。 指定 的 时 间 一 一 用 户 在 规定 的 时 间 进 入 系统 。 

。 运行 指定 的 程序 一 一 用 户 只 能 调用 指定 的 应 用 软件 。 

。 访问 指定 资源 一 一 用 户 只 能 访问 指定 的 文件 夹 和 对 文件 夹 进行 指定 的 处 理 。 


zx 2 
发 行 的 证 书 | 来 属于 | 拔 信 | 对象 | 安全 | 环境 发 行 的 证 书 | 妹 导 于 | 所 入 | 对 烛 | 安全 | 环境 
会 话 ”| ”远程 控制 。 | 。 终 编 服务 配置 文件 | 。 com+ 会 话 | 远程 控制 |。 终 辣 服务 配置 文件 | 。 co 
常规 | 地 址 | 帐户 | 配置 文件 | 电话 | 单位 常规 | 地 址 帐 P | 配置 文件 | 电话 | 单位 

用 户 登 录 名 
习 
用 记 警 录 名 findows 2000 以 前 版 本 ) 电 ) 
后 \ a 
要 录 时 间 |。 登录 到 
下 张 户 EE 杭 定 名 
帐户 选项 中) 
厂 用 户 下 次 要 录 时 须 更 改 守 码 习 
厂 用 户 不 能 更 改 密码 
厅 密码 未 不 过 其 
厂 使 用 可 刻 的 加 密 保 存 密码 + 
帐户 过 基 
人 永 不 过 期 QD 
个 在 这 之 后 到 ): |2006 年 1 有 24 日 副 


图 2-16 账户 常规 信息 图 2-17 账户 信息 
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在 这 5 个 指定 中 ,“ 指 定 的 计算 机 ”和 “指定 的 时 间 ” 在 “账户 ”选项 卡 中 设置 完成 。 1 
在 指定 的 计算 机 上 登录 需要 单 击 “ 登 录 到 ”按钮 .打开 “登录 工作 站 ”对 话 框 ,如 图 2-18 
所 示 。 

用 户 可 以 通过 域 控制 器 管理 的 任何 计算 机 登录 ,也 可 被 限制 在 指定 的 计算 机 上 登录 。 
在 图 2-18 中 选择 “所 有 计算 机 ” 单 选 按 钮 .就 是 允许 该 账户 可 以 通过 任何 计算 机 登录 。 但 
是 在 企业 实际 应 用 中 ,出 于 对 特殊 用 户 的 安全 要 求 , 是 不 允许 使 用 非 本 人 使 用 的 专用 计算 
机 或 部 门 之 外 的 计算 机 ,因此 特殊 用 户 的 登录 地 ， 被 约束 。 例 如 .财务 部 门 的 用 户 不 
能 随意 使 用 网 络 中 任何 计算 机 ,只 能 在 财务 办 公 室 使 用 本 部 门 计算 机 。 可 在 “登录 工作 
站 ”对 话 框 中 选中 “下 列 计算 机 ” 单 选 按钮 ,在 “计算 机 名 ”文本 框 中 输入 该 账户 要 登录 的 计 
算 机 名 称 ,然后 单 击 * 添 加 ?按钮 ,这 样 该 账户 就 只 能 通过 指定 计算 机 登录 到 域 控制 器 管理 
的 网 络 系统 中 。 如 果 该 用 户 需要 从 多 人 台 计 算 机 登录 时 ,可 重复 输入 多 人 台 计 算 机 的 名 称 , 如 
图 2-19 所 示 。 


El 可 | 
“计算 名 ” 框 中 轨 入 rinaors 二村 这 在 “iaL 扣 " 杠 中 轨 入 Yindos 
此 用户 可 以 车 录 到 : 
个 所 有 计算 机 
人 下 列 计算 机 中 
计算 机 名 四 ) 
各 
| 编辑 
到 辽 让 


图 2-18 在 指定 计算 机 登录 图 2-19 账户 从 指定 计算 机 登录 设置 


在 指定 的 时 间 登 录 设 置 中 ,对 登录 域 控制 器 的 账户 可 以 限制 在 一 个 特定 的 时 间 范 围 
内 。 在 “账户 ”选项 卡 中 单 击 “ 登 录 时 间 ” 按 钮 ,打开 如 图 2-20 所 示 对 话 框 。 在 登录 时 间 设 


| 
& 《 
Emal 
6 xirszow 
| 拒绝 登录 吕 ) 


星期 日 至 星期 六 从 0:00 点 到 0:00 点 


图 2-20 设置 账户 在 指定 时 间 登 录 
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42 ”和 置 对 话 框 中 可 以 设置 指定 的 日 期 和 指定 的 时 间 , 单 击 “ 确 定 ” 按 钮 ,让 用 户 在 一 个 规定 的 时 
间 内 登录 域 控制 器 。 
例如 ,公司 指定 用 户 DL 只 能 在 上 班 时 间 使 用 计算 机 ,上 班 时 间 为 周一 至 周 五 的 早 
9 点 至 下 午 6 点 ,可 按照 如 图 2-21 所 示 设 置 登 录 时 间 。 
Ed 
A er 


全 部 一 职 淘 | 
星期 日 

星期 一 

让 | Wo 
= | 。 玉 拒 绝 登 录 四 ) 
JI 四 

星期 五 

星期 六 


星期 一 至 星期 五 从 9:00 点 到 18:00 点 


图 2-21 设置 账户 在 指定 时 间 登 录 域 控制 器 计算 机 系统 


@ “账户 选项 "选项 组 提供 多 项 有 关 账 户 安全 方面 的 设置 ,在 后 面 的 课程 学 习 后 再 就 
此 展开 实验 ,如 图 2-22 所 示 。 

@ “账户 过 期 "选项 组 对 账户 登录 计算 2 天 
机 的 时 间 做 出 了 更 严格 的 限制 ,可 以 选择 | | | 汉人 
“ 永 不 过 期 "或 “在 这 之 后 ” 单 选 按钮 ,指定 | 生生 全 生生 
具体 的 日 期 米 限 制 该 账户 登录 到 域 控制 器 “[ 一 一 一 庆 一 5 


中 ,这 样 ,在 此 日 期 之 后 ,该 用 户 就 不 能 登 人 Ren 和 轩 : 
录 到 系统 中 了 。 区 好 时 间 (| 。 登录 到 GD) ， 
(2) 账户 的 删除 CE 


在 日 常 的 系统 管理 中 ,主要 是 对 系统 
资源 和 账户 的 管理 。 在 账户 管理 中 经 常 
出 现 原 有 创建 的 账户 不 使 用 的 情况 .主要 
有 : 实验 用 账户 . 误 操作 建立 的 账户 、 临 时 
账户 和 禁用 的 账户 。 对 于 这 些 账 户 ,一般 
情况 下 管理 员 可 执行 账户 删除 操作 .将 账 订 
户 从 域 控 制 器 中 删除 ; 但 是 在 Windows 图 2-22 “账户 选项 ”选项 组 
Server 2003 操作 系统 中 .确认 和 识别 账户 
不 是 用 户 表 面 上 看 到 的 账户 名 ,而 是 在 账户 建立 的 开始 系统 为 每 个 账户 自动 分 配 惟一 
一 个 安全 标示 (SID) 。 当 一 个 账户 不 使 用 时 ,如 果 删 除 该 账户 ,该 账户 的 SID 并 没有 作 
废 ,该 账户 在 资源 对 象 上 设置 的 权限 仍然 存在 。 如 果 用 户 再 新 创建 一 个 与 已 经 删除 的 
ee 在 计算 机 系统 内 部 则 是 不 同 的 SID, 即 拥有 不 同 权 限 。 因 此 作为 账户 管 
理 者 ,只 有 在 一 个 账户 真正 作废 不 用 才 有 删除 的 必要 ,建议 对 暂时 不 使 用 的 账户 可 以 
先 禁 用 。 
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212 域 模式 下 组 的 设置 与 管理 


1. 域 模式 下 组 的 概念 

在 Windows Server 2003 的 域 控制 器 中 ,组 是 一 个 非常 重要 的 概念 与 应 用 。 在 第 1 章 已 
经 就 组 的 原理 作 了 介绍 。 账 号 是 进入 系统 的 身份 证 ,组 是 用 来 简化 、 统 一 管理 账户 的 逻辑 
结构 ,利用 组 可 以 把 具有 相同 权限 需求 和 管理 需求 的 用 户 组 织 放置 在 一 个 逻辑 单元 中 ,这 
样 便于 管理 和 提高 工作 效率 。 

(1) 组 账号 的 特点 

。 组 是 个 逻辑 结构 。 

。 一 个 账户 可 以 同时 加 入 多 个 组 。 

。 当 一 个 用 户 加 入 到 一 个 指定 组 时 ,该 用 户 账号 就 拥有 了 该 组 所 拥有 的 所 有 权限 。 

例如 , 当 我 们 来 到 企业 进行 实习 时 ,每 位 同学 事先 准备 了 不 同 颜色 的 帽子 ,领队 通知 
大 家 , 戴 红 色 帽 子 的 同学 进 左 手 门 , 戴 黄 色 帽 子 的 同学 进 右手 门 , 这 时 在 各 个 门口 守卫 的 
保安 并 不 认识 同学 ,可 他 会 根据 每 个 人 所 戴 帽 子 颜 色 来 判别 是 否 允 许 进 入 。 所 以 帽子 赋 
予 了 每 位 同学 相应 的 权利 ,帽子 就 是 一 种 逻辑 组 。 

(2) Windows Server 2003 组 的 分 类 

在 Windows Server 2003 中 , 因 组 的 作用 不 同 ,建立 了 不 同类 型 的 组 ,组 有 两 种 类 型 : 
通信 组 和 安全 组 。 

通信 组 用 来 组 织 用 户 账号 ,没有 安全 性 ,在 通信 组 中 可 以 存储 用 户 账号 等 信息 ,可 用 
于 微软 的 其 他 相关 软件 ,如 Exchange 2003 Server。 通 信和 组 如 图 2-23 所 示 。 

安全 组 除了 通信 组 所 具备 的 功能 外 ,主要 用 于 为 用 户 和 计算 机 设置 权限 。 安 全 组 是 
Windows Server 2003 权限 管理 的 重要 组 成 部 分 ,主要 是 对 所 包含 的 账户 在 资源 对 象 中 
的 访问 进行 控制 。 安 全 组 如 图 2-24 所 示 。 


| x 
[#4 创 时 在 er eon/Vsers [#4 他 妥 在 ， ex eon/Vsers 
姐 名 从) 组 名 从) 
9 ES 
外 各 Windows 2000 以 前 版 本 ) 全) 组 名 (Yindews 2000 以 前 版 本 ) QD); 
组 作用 域 组 关 开 姐 作用 域 相关 到 
个 本 地 域 ) 安全 组 G) 个 本 地 域 呈 ) 个 安全 姐 G) 
人 全 局 @ 9 人 全 局 @) 个 通讯 组 D) 
人 通用 QD | 


图 2-23 通信 组 图 2-24 安全 组 


(3) Windows Server 2003 组 的 范围 
组 的 范围 是 用 来 管理 组 的 作用 域 的 .在 域 中 根据 组 的 范围 分 为 3 种 类 型 , 即 全 局 组 、 
本 地 组 和 通用 组 。 
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全 局 组 用 来 管理 具有 相同 管理 任务 的 用 户 账 号 ,在 该 组 中 只 能 包括 该 组 所 在 域 的 用 
户 账户 ,该 组 可 成 为 域 的 本 地 组 的 成 员 。 
本 地 组 与 全 局 组 不 同 ,本 地 组 的 目的 是 给 本 域 中 的 资源 分 配 权限 ,本 地 组 只 在 本 域 中 
可 见 。 该 组 可 以 包括 任何 域 的 用 户 账号 和 任何 域 的 全 局 组 和 通用 组 。 
通用 组 具备 了 全 局 组 和 本 地 组 的 作用 ,其 成 员 灵 活 , 其 作用 主要 是 在 多 域 模式 下 组 织 
全 局 组 。 
(4) Windows Server 2003 中 的 默认 组 
在 一 个 域 搭建 好 后 ,打开 “Active Directory 用 户 和 计算 机 ”窗口 中 的 Users 文件 夹 ， 
就 会 显示 一 些 已 经 存在 的 账户 和 组 ,如 图 2-25 所 示 。 
< 所 Active Directory 用 户 和 计算 机 EE 
才 文件 如 换 作 人 ) 查看 WW) 窗口 和 玫 助 和 D 


+* 沾 | 央 | 四 | 趾 | 全 回民 | 久 | 涩 滁 煌 了 了 妈 名 


Active Directory 用 户 和 计算 机 | es ”2 个 对 入 
存 的 查询 


@ Adninistrater 
由 - 国 Builtin bendiza 
由 国 Conputers Cert Publishers 


由 的 Domsin Controllers 


Debazzer 1 
四国 ForeignSeewrityPrineipd| 和 Er 


田 国 LosthndFound 
由 - 国 mns Quotas 
田 国 Progren Dats DnsUpdateProxy 
田 国 Systen Domain Adnins 
SVsers Domain Computers 
Domain Controllers 
Domain Guests 
Domain Users 
Enterprise Adnins 
Group Policy Creator Owners 
Guest 
HelpServicesGroup 
rbtet 


图 2-25 各 个 默认 组 


这 些 组 可 以 分 成 预定 义 组 .内 置 组 .内置 本 地 组 和 特殊 组 4 类。 
@ 预定 义 组 。 这 些 组 创建 在 Users 文件 夹 中 ,默认 情况 下 为 全 局 组 ,没有 任何 继承 
权力 。 例 如 : 
。 Domain Admins( 域 管理 员 组 ) ,自动 将 该 组 加 入 到 Administrators, 具 有 域 的 管理 
权限 。 
。 Domain Guests( 域 来 宾 组 ) ,具体 解释 说 明 看 文件 夹 中 的 “描述 部 分 ”。 
。 Domain Users( 域 用 户 组 ) ,自动 加 入 本 地 Users 组 中 ,成 为 域 中 用 户 组 成 员 。 
@ 内 置 组 。 在 Builtin 文件 夹 中 建立 的 组 为 内 置 组 ,如 图 2-26 所 示 。 
内 置 组 都 是 安全 本 地 组 ,提供 预定 义 用 户 权 力 和 权限 的 管理 ,这 些 组 已 经 设置 好 相应 
的 权限 ,如 果 让 那些 用 户 执行 相应 的 管理 权限 时 ,只 要 把 这 个 用 户 账号 加 入 到 对 应 组 中 
即 可 。 
。 Account Operators( 用 户 账户 操作 员 组 ): 成 员 可 以 管理 域 用 户 和 组 账户 ,但 不 能 
修改 Administrators 组 的 任何 信息 。 
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志文 件 四 “ 指 作 外， 查看) 窗口 是 帮助 0 

+ | 向 | 四 |% 扇 |X 办 辐 民 | 岛 | 沿 汶 加 了 人 名 
Active Directory 用 户 和 计算 机 | Boiltin “16 个 对 入 

国 - 国 保存 的 查询 
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由 - 国 ms Quotas 


由 - 回 Proerm Data 
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由 - 轩 Vsers Pre-Windows 2000 Conpatible Access 


Print Operators 
Renote Desktop Users 


Terninal Server License Servers 
Users 
indows Authorization Access Group 此 组 的 成 员 可 以 访问 User 对 象 上 经 过 


到 


图 2-26 内 置 组 


。 Administrators( 管 理 员 组 ): 管理 员 对 计算 机 / 域 有 不 受 限 制 的 完全 访问 权 。 
。 Backup Operators( 备 份 操 作 员 组 ): 备份 操作 员 为 了 备份 或 还 原文 件 可 以 替代 安 
全 限制 。 
。 Users( 用 户 组 ): 用 户 无 法 进行 有 意 或 无 意 的 改动 ,可 以 运行 经 过 验证 的 应 用 程 
序 , 但 不 可 以 运行 大 多 数 旧版 应 用 程序 。 

@ 内 置 本 地 组 。 该 组 不 属于 活动 目录 域 模 式 下 的 组 ,前 面 已 经 讲述 。 

@ 特殊 组 。 该 组 没有 特定 用 户 账户 .但 可 以 在 不 同时 候 代 表 不 同 用 户 。 例 如 ， 
Everyone( 每 人 组 )。 

2. 组 的 设置 

前 边 已 经 就 组 的 有 关 概 念 进行 了 分 析 , 在 组 的 实际 使 用 时 ,有 关 组 的 设置 包括 几 个 具 
体 的 工作 ,通过 这 些 工 作 可 以 对 组 进行 有 效 的 维护 。 

(1) 组 账号 建立 

域 模式 下 组 的 建立 与 第 1 章 介绍 的 组 的 建立 基本 相同 ,其 具体 操作 如 下 : 

@ 右 击 “Active Directory 用 户 和 计算 机 ”窗口 中 Users 文件 夹 ,在 弹出 的 快捷 菜单 
中 选择 “新 建 ”>“ 组 ”命令 ,如 图 2-27 所 示 。 

@ 在 “新 建 对 象 一 组 ”对 话 框 中 输入 相应 的 信息 并 设置 组 作用 域 . 组 类 型 ,然后 单 击 
“确定 ”按钮 ,如 图 2-28 所 示 。 

(2) 设置 组 成 员 

使 用 组 账户 就 是 管理 和 组 织 用 户 账户 ,因此 需要 在 建立 的 组 中 加 入 相应 的 用 户 账户 。 
这 个 过 程 可 以 通过 用 户 账户 实现 ,也 可 通过 组 账户 属性 实现 ,具体 操作 如 下 : 

Q@ 打开 要 加 入 账户 的 指定 组 的 属性 对 话 框 的 “成 员 ” 选 项 卡 , 如 图 2-29 所 示 。 
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“文件 四 篇 缂 四 视图 WD 插入 GD 格式 外 工具 CD 表格 册 窗口 中 帮助 0D 忆 
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- ery 用 户 和 计算 机 Elolxj 
[也 zy 四 所 作 () 查看 WD 年 口 如 和 助 吕 


和 +| 生 | 四 六 申 XX 全 国 风 | 旬 阅 记 生 了 GG 
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cee ， sees 
i ee me 
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ws quons 


2.1.3 城 模式 下 对 分 区 文件 顽 文 件 的 管理 
资源 对 刍 的 管理 构架 


15/16 位 置 16 * 硬 米 10 行 1 列 次 出 让 T 亲民 上 站 中 文中 国 四 
Ei Ee E | 了 PT，\ 半 人 E 瑟 忆 - 书 -2006 | 可] riseoost 种 式 下 的 徊 面 中 从 1 
| | 任务 管理 盯 。 || < keuv nirvetery 用 加 | 2 9| | 星期 一 


图 2-27 创建 组 
Ek:| 
第 规 成员 “| 杂 民 于 | 管理 者 | 对 象 | 安全 | 
成 员 吧 ) ; 
| 5 
[#6 创 肤 在 ， scon/Vsers 
得 各 的): 
知 和 一 一 一 一 
粗 名 Windows 2000 以 前 版 本 ) @@) 
组 作用 域 姐 关 型 
广 本 地 域 四 ) 他 安全 姐 GE) 
6 全 局 人 @) 个 通讯 组 @) 
挛 清 用 呆 添加 WD)... | _ 和 除外 


图 2-28 “新 建 对 象 一 组 ”对 话 框 图 2-29 “成 员 ” 选 项 卡 


@ 单 击 “添加 ”一 “高 级 ”一 “立即 查找 "按钮 .显示 被 选用 户 账户 ,如 图 2-30 所 示 。 
@ 选中 要 加 入 组 的 用 户 账户 , 单 击 “ 确 定 ” 按 钮 ,如 图 2-31 和 图 2-32 所 示 。 
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一 般 性 查询 | 

和 名称 多 : 
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熙 ED FE 可 
三 区 用 的 帐户 @) Petro | 
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Es. com/Vsers 
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5UFPORT_3889450 这 是 一 个 帮 5 com/Users 


图 2-30 查找 账户 


| 
常规 成员。 | 隶 原 于 | 管理 者 | 对 象 | 安全 | 
成 员 吧 )， 


Active Directory 文件 垃 
@ Adaninistr Bs. com/Users 


先 择 用 户 、 联 系 人 或 计算 机 


Hx 
选择 对 象 关 型 G) 
对 象 类 到 介 ) 
查找 位 置 下 ) 
[em 位 置 必 .- 
输入 对 象 名 称 来 选择 示例) 到 ) 
硬 吾 -村 和 吕 ) | ER | 


mw | mw | 


图 2-31 选择 账户 


图 2-32 确定 账户 


@ 在 “成 员 ” 选 项 卡 中 选择 用 户 , 然 后 单 击 “ 删 除 ”按钮 ,可 将 指定 用 户 从 指定 组 中 删 
除 , 如 图 2-33 所 示 。 


@@ 打开 要 加 入 组 账户 的 指定 账户 的 属性 对 话 框 的 “隶属 于 ”选项 卡 ,如 图 2-34 
所 示 。 
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Donain Vsers 


车 
| 


CI | enw | CE | anw | 
图 2-33 删除 账户 图 2-34 “隶属 于 ?选项 卡 


@@ 单 击 * 添 加 ”~* 高 级 ”>* 立 即 查 找 "按钮 ,显示 组 账户 ,如 图 2-35 所 示 。 
了 可 


过 择 此 对 象 类 型 G)- 
网 
查找 位 置 
Eee yy wv 
一 各 性 查 询 | 
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三 琴 用 | 


Adninistrators &s. con/Builtin 
Backup Operators Es. con/Builtin 
bendizu gs. con/Vsers 
Cert Publishers 此 蛤 的 成 员 被 允许 发 行 证 书 型 | Activ. ES. com/Vsers 


Debueeer Users 调试 器 用 户 可 以 通过 本 地 或 远程 的 方 ，，。 gs. con/Users 
DnsAdnins DNS 管理 员 姐 gs. com/Vsers 


给 Dasupaateproxy 允许 莹 其 他 客户 端 d DHCP 服务 器 ) EscomjUsers 
给 Domain Adanins 指定 的 域 管理 员 gs. com/Vsers 局 


ss 


图 2-35 组 账户 查找 


@ 按照 提示 完成 用 户 账户 加 入 组 的 操作 。 
(3) 组 的 重 命名 
在 建立 好 组 账号 后 ,往往 因为 各 种 原因 要 修改 组 名 .这 时 ,组 中 的 成 员 不 变 , 系 统 对 组 
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的 权限 的 设置 与 管理 不 会 发 生 任何 变化 。 在 “Active Directory 用 户 和 计算 机 ”窗口 中 右 
击 需 要 改名 的 组 ,在 弹出 的 快捷 菜单 中 选择 * 重 命名 ”命令 ,如 图 2-36 所 示 。 


了 和 的 电 庙 | 忆 工 合作 写 书 - 蔬 -006 | 可 ] vineo03 城 模式 下 的 管 | 


hetive pireeter 用 


I 3 本寺 


wu #98 


图 2-36 组 名 修改 


(4) 组 的 删除 
当 一 个 组 需要 删除 时 ,可 在 “Active Directory 用 户 和 计算 机 ”窗口 中 右 击 要 删除 的 
组 ,在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 ,如 图 2-37 所 示 。 


213 域 模式 下 对 分 区 文件 来 文件 的 管理 


1. 域 模式 规划 与 建立 

在 域 模式 下 ,一 旦 构架 出 符合 需求 的 用 户 账户 体系 ,确立 了 加 入 域 的 计算 机 后 ,最 重 
要 的 工作 就 是 确定 哪些 账户 能 访问 哪些 文件 夹 . 对 文件 夹 能 进行 什么 权限 的 应 用 。 这 时 
候 , 用 户 账 户 已 经 成 为 域 中 一 个 成 员 . 可 以 通过 域 中 任何 一 台 计 算 机 登录 ,对 任何 计算 机 
上 的 资源 对 象 进行 访问 .如 图 2-38 所 示 。 

例如 ,现在 有 计算 机 A、B、C, 用 户 账户 Hl1、H2、H3, 域 名 GS. com。 

DOD A 机 为 域 控 制 器 .B 机 为 客户 机 ,C 机 为 客户 机 , 域 中 计算 机 和 账户 构成 如 
图 2-38 所 示 。 
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图 2-37 组 的 删除 


SS H3 
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Administrator 售 


图 2-38” 域 中 计算 机 和 账户 构成 


@ 将 客户 机 B 加 入 到 GS. com 域 。 在 客户 机 B 的 桌面 上 右 击 “我 的 电脑 ”图标 ,选择 
“属性 ”命令 ,在 “计算 机 名 ”选项 卡 中 , 单 击 “ 更 改 ” 按 钮 ,如 图 2-39 所 示 。 在 “隶属 于 ?选项 
区 中 选中 “ 域 ” 单 选 按 钮 .在 文本 框 中 输入 GS. com。 单 击 “ 确 定 ” 按 钮 ,出 现 如 图 2-40 所 示 
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对 话 框 。 在 用 户 名 和 密码 文本 框 中 输入 管理 员 的 用 户 名 及 密码 。 单 击 “ 确 定 ” 按 钮 ,出 现 51 
如 图 2-41 所 示 对 话 框 。 重 新 启动 计算 机 .使 设置 生效 。 


了 到 
a 更 改 可 能 会 影响 


计算 机 名 ECE) 


完整 的 计算 机 名 称 : 


图 2-40 在 Hl 加 入 GS. com 域 过 程 中 
输入 账户 Hl 密码 


[it sns 更 “== 
i mom os.em Mm. 


[0 


图 2-39 B 客 户 机 加 入 到 GS. com 域 图 2-41 B 计 算 机 称 为 GS. com 客户 机 


采用 相同 的 方法 将 计算 机 C 加 入 GS. com 域 ,这 样 构 成 了 如 图 2-38 所 示 的 域 
模式 。 

2. 通过 指定 计算 机 登录 对 异地 计算 机 的 文件 夹 进行 权限 设置 

H1 客户 在 BB 计算 机 登录 ,对 计算 机 C 上 的 文件 夹 WH2 中 的 文件 权限 进行 设置 ,如 
图 2-42 所 示 。 这 个 过 程 不 同 于 以 前 的 过 程 ,因为 在 计算 机 C 没有 成 为 GS. com 的 客户 机 
时 ,对 C 机 的 文件 夹 权限 设置 必须 在 C 机 上 进行 ; 当 C 机 成 为 客户 机 后 ,对 域 中 所 有 的 
客户 机 的 管理 就 变 得 方便 了 。 

盒 HI 


WH2 文 件 夹 


2-42 ”通过 指定 计算 机 登录 对 异地 计算 机 的 文件 夹 进行 权限 设置 
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2.2 设置 组 织 单位 与 配置 客户 机 


221 管理 组 织 单位 


1. 组 织 单位 的 概念 的 复习 与 使 用 

在 2.1 节 已 经 就 域 模式 下 的 计算 机 、 账 户 的 管理 进行 了 分 析 与 研究 ,通过 域 模式 的 管 
理 体系 可 以 使 管理 变 得 简洁 高 效 。 

但 是 在 日 常 的 网 络 操作 系统 中 的 管理 还 有 着 更 加 丰富 和 复杂 的 内 容 , 例 如 ,对 账户 使 
用 计算 机 的 系统 配置 的 管理 .对 网 络 环境 的 管理 .对 桌面 设置 的 管理 ,对 安全 设置 的 管理 
等 。 在 这 样 的 需求 下 ,如 果 需 要 管理 员 为 每 个 用 户 账 户 都 一 一 进行 设置 , 那 将 是 个 天 文 数 
字 的 工作 量 。 

因此 ,应 当 通 过 一 个 适当 的 方法 简化 这 些 重复 性 工作 。 

在 日 常 的 企业 工作 中 ,公司 人 数 众多 ,不 可 能 一 一 管理 ,这 时 就 要 分 析 企 业 对 员工 管 
理 的 规律 。 通 常 企业 是 按照 部 门 进 行 管理 的 ,一 个 部 门 员工 具有 相同 的 工作 环境 、 工 作 要 
求 . 相 同 的 权利 ,这 样 就 可 以 把 员工 的 所 有 需求 设置 在 一 个 属于 部 门 的 管理 制度 或 管理 方 
法 中 , 当 一 个 员工 加 入 到 该 部 门 时 , 则 所 有 的 要 求 均 依照 部 门 要 求 执行 。 

在 Windows Server 2003 活动 目录 的 域 模式 中 ,提供 一 个 重要 的 功能 一 一 组 织 单位 
(OU)。 它 是 非常 重要 的 一 个 组 件 , 在 资源 组 织 和 管理 上 起 着 重要 的 作用 , 它 可 以 将 被 管 
理 的 对 象 ,统一 放置 在 一 个 逻辑 机 构 内 ,这 些 对 象 包括 : 用 户 账号 、 组 账号 、 计 算 机 、 打 印 
机 共享 文件 夹 以 及 子 OU。 当 这 些 对 象 被 放置 在 OU 容器 中 ,围绕 着 这 个 OU 就 可 以 进 
行 一 系列 的 管理 设置 了 。 

2. 组 织 单位 与 组 账号 的 区 别 

组 织 单位 与 组 账号 都 是 域 模式 下 的 管理 对 象 ,组 织 单元 管理 的 对 象 更 多 些 , 而 组 账号 
只 对 用 户 账户 在 文件 夹 上 的 权限 进行 管理 。 

删除 组 账号 ,组 账号 所 管理 的 用 户 账号 的 逻辑 关系 被 打破 ,但 用 户 账户 本 身 不 会 消 
失 。 删 除了 OU ,在 OU 中 设置 的 信息 、 加 入 管理 的 对 象 将 随 之 删除 。 

3. 组 织 单位 与 域 的 关联 

域 是 操作 系统 对 所 有 与 之 连接 的 计算 机 和 登录 计算 机 的 用 户 账户 的 全 面 的 管理 ,是 
建立 在 活动 目录 中 的 最 全 面 完善 的 网 络 管理 模式 .用户 访问 计算 机 时 需 先 登录 域 再 进入 
组 织 单元 。 

组 织 单位 是 在 域 模式 中 存在 的 一 个 具体 的 逻辑 管理 方式 ,组 织 单位 依存 于 域 。 

例如 ,一 个 企业 由 各 种 环境 、 各 种 设备 、 各 类 员工 、 各 项 工作 构成 ,在 这 个 企业 周边 筑 
起 围墙 ,这 个 围墙 就 是 域 。 围 墙 内 的 一 切 受到 了 保护 ,围墙 内 的 一 切 有 着 自己 的 天 地 ,可 
以 相互 协调 相互 帮助 ; 围墙 外 面 的 一 切 受 到 限制 ,要 想 进 入 企业 必须 通过 安检 和 授权 。 
企业 构架 如 图 2-43 所 示 。 

在 企业 中 每 个 人 都 有 自己 的 分 工 ,都 有 自己 的 职权 范围 .最 重要 的 是 每 位 员工 都 归属 
到 一 个 部 门 ,因为 企业 的 管理 模式 、 工 作 类 别 、 权 力 范围 都 有 对 不 同类 别 工作 的 规范 性 的 
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要 求 ,因此 企业 需要 建立 各 个 专业 部 门 ,一 般 情况 下 有 技术 、 人 事 、 财 务 等 部 门 。 企 业 机 构 
示意 如 图 2-44 所 示 。 


i he 


六 全 汪 
可 有 


图 2-43 企业 构架 图 图 2-44 企业 机 构 示意 图 


每 一 个 部 门 有 着 一 定 的 员工 ,有 着 该 部 门 专用 的 设备 ,有 着 自己 独特 的 管理 方式 ,有 
着 统一 的 着 装 , 有 着 特殊 的 办 公 环 境 , 有 着 独特 的 安全 管理 规定 。 

通过 这 个 例子 可 以 看 出 一 个 企业 内 部 众多 的 员工 被 归属 到 各 个 部 门 ,各 个 部 门 又 有 
着 自己 的 相对 独立 的 管理 方式 。 而 这 些 独立 的 部 门 就 是 组 织 单位 ,各 个 部 门 的 独立 的 管 
理 规范 就 是 组 策略 。 

4. 创建 组 织 单位 

例如 ,要 在 GS. com 域 建立 组 织 单位 caiwu. 操 作 步 又 如 下 : 

(1) 在 安装 了 活动 目录 的 域 控制 器 计算 机 上 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 
“Active Directory 用 户 和 计算 机 ”命令 ,打开 “Active Directory 用 户 和 计算 机 ”窗口 ,如 
图 2-45 所 示 。 

(2) 右 击 GS. com 域 ,在 弹出 的 快捷 菜单 中 选择 "新建 ”>“ 组 织 单位 ”命令 ,如 图 2-46 
所 示 。 

(3) 打开 如 图 2-47 所 示 的 “新 建 对 象 一 组 织 单位 ”对 话 框 ,并 在 “名 称 ” 文 本 框 中 输入 
caiwu。 


(4) 单 击 “ 确 定 ” 按 钮 ,就 建立 了 组 织 单位 caiwu。 
222 配置 客户 机 


本 单元 首先 讲解 将 计算 机 加 入 域 的 方法 ,然后 介绍 通过 活动 目录 对 用 户 的 计算 机 进 
行 管理 的 方法 。 
例如 ,要 将 计算 机 B 加 入 GS. com 域 ( 前 提 条 件 是 网 络 的 数据 通信 没有 问题 )。 操 作 
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图 2-45 “Active Directory 用 户 和 计算 机 ”窗口 
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用- 国 保存 的 查询 本 


日 软 本 con 


国 rorei msee 
Vsers 容器 


甘于 i 


图 2-46 ” 选择“ 新建” 一 “组 织 单位 ”命令 
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步骤 如 下 : 55 


(1) 调整 TCP/IP 协议 的 属性 ,使 DNS 指向 GS. com 的 DNS(GS. com 的 IP 为 172. 
16. 32. 164) ,如 图 2-48 所 示 。 


Internet 协议 (ICP/IP) 属性 
第 规 


请 2 二 和 se 


加 自动 获得 IF 地 址 四 ) 
并 | EE em 本 用 下 Wi 的 元 二 下 到 7: 
IP 地 址 CT); 

名 称 邮 ) 子 网 掩 码 0D) 

[EC 默认 网 关 四 ) 


新 建 对 象 ~ 钥 织 单位 | 


全 使 用 下 面 的 DNS 服务 器 地 址 EE) 
首选 DkS 服务 器 下) 
备用 DRS 服务 器 () 


CC ] mw | 


图 2-47 创建 组 织 单位 caiwu 图 2-48 DNS 的 调整 


(2) 右 击 “ 我 的 电脑 ”图 标 ,在 弹出 的 快捷 菜单 中 选择 “ 届 性 ”命令 ,打开 “系统 属性 ”对 
话 框 , 单 击 * 计 算 机 名 ”选项 卡 ,如 图 2-49 所 示 。 
(3) 单 击 “ 更 改 ” 按 钮 ,打开 “计算 机 名 称 更 改 ” 对 话 框 ,输入 计算 机 名 及 要 加 入 的 域 
名 ,如 图 2-50 所 示 。 


系统 属性 


| 从 规 [于 要 和 铝 || 硬件 “| 高 级 “| 系统 还 原 上 | 自动 更 新 | 远程 
Wy Windows 使用 以 下 信息 在 网 络 中 标识 这 各 计算 机 。 


计算 机 描述) E 

re he 本 可 
完整 的 计算 机 名 称 : dle 
工作 蛆 WORKGEOUE |. 

i 计算 机 名 吕 ): 
0 GE 四， 
要 重新 全 名 此 计算 机 或 加 入 城 ， 单 击 “ 更 MX 。 [REXEI ee 

其 他 加 
隶属 于 
6 域 D): 
Fe 
个 工作 组 四) 
Fa 
屋 . 忆 本 | 


图 2-49 “计算 机 名 ”选项 卡 图 2-50 更 改 操作 
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56 (4) 单 击 “ 确 定 ” 按 钮 ,打开 如 图 2-51 所 示 的 “计算 机 名 更 改 ” 对 话 框 ,输入 有 操作 权 
的 用 户 名 及 密码 。 
(5) 单 击 “ 确 定 ” 按 钮 ,弹出 如 图 2-52 所 示 的 对 话 框 , 单 击 “ 确 定 ” 按 钮 。 重 新 启动 计 
算 机 ,将 计算 机 加 入 域 的 工作 完成 。 


[t+ 机 名 更 性 “=| 
wp os.cm Ms, 


图 2-51 输入 用 户 名 及 密码 图 2-52 将 计算 机 加 入 域 


将 计算 机 加 入 域 以 后 ,就 可 以 在 域 服务 器 上 对 加 入 域 的 计算 机 进行 有 效 的 管理 。 
或 在 客户 机 上 ,通过 “网 上 邻居 ”的 活动 目录 项 目 对 其 他 计算 机 或 域 服 务 器 进行 有 效 的 
管理 。 

假如 Hl 是 GS. com 的 管理 员 , 现 在 他 就 可 以 对 域内 的 计算 机 包括 域 服务 器 进行 管 
理 ,这 种 管理 是 以 管理 员 的 身份 登录 后 ,在 域内 的 任何 一 台 计 算 机 上 进行 的 ,不 需要 管理 
员 亲 自 遍 历 每 一 台 计 算 机 ,就 像 共 享 文件 的 访问 权限 管理 一 样 , 充 分 体现 了 域 工 作 模式 下 
集中 管理 的 优点 。 域 模式 如 图 2-53 所 示 。 


Administrator (3 


域 : GS.com 


EE 3 


图 2-53 ” 域 模式 


下 面 通过 GS. com 的 域 服务 器 观察 域内 计算 机 B 硬盘 文件 分 区 状况 。 步 又 如 下 : 

(1) 登录 域 服务 器 ,选择 “开始 ”一 程 序 " 一 “管理 工具 ”一 “Active Directory 用 户 和 
计算 机 ”命令 ,打开 “Active Directory 用 户 和 计算 机 ?窗口 ,如 图 2-54 所 示 。 

(2) 打开 gs. com 下 的 Computers 文件 夹 , 右 击 计算 机 B, 在 弹出 的 快捷 菜单 中 选择 
“管理 ”命令 ,如 图 2-55 所 示 。 

(3) 打开 “计算 机 管理 ”窗口 ,如 图 2-56 所 示 . 就 可 对 计算 机 B 硬盘 系统 文件 进行 
观察 。 


第 2 章 ”Windows Server 2003 域 模式 下 管理 


ET =I9|x| 
志文 件 四 ”操作 由 查看 中 窗口 @@ 帮助 四 | 看 芭 
全 守 | 四 | 因 | 昌 | 略 因 图 | 国 | 韶 遂 迎 了 通 三 

Netive Directory 用 户 和 寺 蓝 机 | 2 cm ”5 个 对 要 


由 -国保 襄 的 查询 [EE ET 1 
隐 Biltin builtinDonain 
申 ~ 国 copsters 容器 Defeslt contsiner fo 
omputers EE 
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由 多 posin center | 加 rsiesee… Se Default contsiner fo 
ys 园 wers 容器 Defoult container fo， 


由 国 wers ol 
| 天 win2003 城 模式 下 的 和 || < Aetive Directory 用 


2-54 “Active Directory 用 户 和 计算 机 ”窗口 


各 Active Directory 用 户 和 计算 机 
地 文件 四 ” 折 作 查看 WD 窗口 WD 帮助 o 
各 小 | 站 四 关 攀 |X 了 办 个 司 | 名 | 六 六 和 了 人 @ 
Active Directory 用 | Computers ”1 个 对 但 
国 国 保存 的 查询 天 
日 姥 和 em 
外国 Builtin 
onputers 
由 国 Donsin Contre 
YoreigSecori 
四 ww* 


二 可 
|=1eld 


Fr 


图 2-55 ”选择 “管理 ”命令 


局 文件 四 挤 作 W) 查看 WW 窗口 中 
和 了 | 白 因 | 加 | 


局 闫 型 | 文件 系统 | 杖 3 

0 磁盘 分 区 基本 FAT32 状态 良好 ( 乐 统 ) 9.34 6B 3.2 
瑟 0:) 于 盘 分 区 基本 MW?S 状态 良好 27.96 GB 25. 
| 本 sqL-8 EE:】 磁盘 分 区 基本 CDFS 状态 良好 656 MB OM 


而 鳃 管理 
四 他 服务 和 应 用 程序 


2-56 计算 机 B 文 件 系统 
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2.3 组 策略 


231 组 策略 的 概念 


1. 组 策略 的 功能 

注册 表 是 Windows 系统 中 保存 系统 、 应 用 软件 配置 的 数据 库 , 随 着 Windows 功能 越 
来 越 丰富 ,注册 表 里 的 配置 项 目 也 越 来 越 多 。 很 多 配置 都 是 可 以 自 定义 设置 的 ,但 这 些 配 
置 分 布 在 注册 表 的 各 个 角落 ,手工 配置 是 相当 困难 和 繁杂 的 。 而 组 策略 则 将 系统 重要 的 
配置 功能 汇集 成 各 种 配置 模块 , 供 管理 人 员 直 接 使 用 ,从 而 达到 方便 管理 计算 机 的 目的 。 
组 策略 使 用 完善 的 管理 组 织 方法 ,对 各 种 对 象 中 的 设置 进行 管理 , 远 比 手工 修改 注册 表 方 
便 、 灵 活 , 功 能 也 更 加 强大 。 

通俗 一 点 说 ,组 策略 是 介 于 控制 面板 和 注册 表 之 间 的 一 种 修改 系统 、 设 置 程序 的 工 
具 。 微 软 自 Windows NT 4.0 开始 便 采 用 了 组 策略 这 一 机 制 , 经 过 Windows 2000 发 展 
到 Windows 2003 已 相当 完善 。 利 用 组 策略 可 以 修改 Windows 的 桌面 “开始 ”菜单 、 登 
录 方 式 、 组 件 、 网 络 及 IE 浏览 器 等 许多 设置 。 

一 些 常 用 的 系统 、 外 观 、 网 络 设 置 等 可 通过 控制 面板 修改 ,但 大 家 对 此 肯定 都 有 不 满 
意 ,因为 通过 控制 面板 能 修改 的 东西 太 少 ; 水 平 稍 高 点 的 用 户 进而 使 用 修改 注册 表 的 方 
法 来 设置 ,但 注册 表 涉 及 内 容 又 太 多 ,修改 起 来 也 不 方便 。 组 策略 正好 介 于 二 者 之 间 , 涉 
及 的 内 容 比 控制 面板 多 ,安全 性 和 控制 面板 一 样 非常 高 .而 条 理性 、 可 操作 性 则 比 注册 
表 强 。 

2. 编辑 工具 

如 果 是 Windows 2003 系统 ,那么 系统 已 经 默认 安装 了 组 策略 编辑 程序 ,选择 “开始 ”一 
“运行 ”命令 ,在 “运行 "对 话 框 中 输入 gpedit msc 命令 .并 单 击 “ 确 定 ” 按 钮 , 即 可 运行 程序 。 

使 用 上 面 的 方法 ,打开 的 组 策略 对 象 就 是 当前 的 计算 机 。 而 如 果 需 要 配置 其 他 的 计 
算 机 组 策略 对 象 ., 则 需要 将 组 策略 作为 独立 的 控制 台 管 理 程序 来 打开 ,具体 步骤 如 下 : 

(1) 打开 Microsoft 管理 “控制 台 ” 窗 口 (可 在 “运行 ”对话 框 中 直接 输入 MMC 命令 ， 
就 可 运行 控制 台 程序 ) ,如 图 2-57 所 示 。 

(2) 在 图 2-57 中 单 击 “文件 ”添加 /删除 管理 单元 ”命令 ,如 图 2-58 所 示 。 

(3) 在 弹出 的 “添加 /删除 管理 单元 ”对 话 框 的 “独立 ”选项 卡 中 . 单 击 “ 添 加 ”按钮 ,如 
图 2-59 所 示 。 

(4) 在 “添加 独立 管理 单元 ”对 话 框 中 ,选择 “组 策略 对 象 编辑 器 ”, 单 击 “ 添 加 ”按钮 ， 
如 图 2-60 所 示 。 

(5) 在 “选择 组 策略 对 象 " 对 话 框 中 .选择 “组 策略 对 象 ” 为 “本 地 计算 机 ”, 编 辑 本 地 计 
算 机 对 象 ; 或 单 击 “ 浏 览 ” 按 钮 查找 所 需 的 组 策略 对 象 ,如 图 2-61 和 图 2-62 所 示 。 

(6) 单 击 “ 完 成 ”按钮 .然后 单 击 "关闭 ”按钮 .最 后 单 击 “ 确 定 ” 按 钮 ,组 策略 管理 单元 
就 打开 要 编辑 的 组 策略 对 象 , 如 图 2-63 所 示 。 
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=|Gj 光 | 
文件 四” 揪 作 WW) 查看 中 收 庆 天 中 窗口 和 帮助 四 
+ 地 | 田 | 图 | 鲜 


用 


2-57 “控制 台 ” 窗 口 


| 文件 到 ) 的 作 由 ) 查看 Q) 收藏 灰 Q) 窗口) 帮助 
新 建 0D Ctrlty 
打开 @) curlto 
cults 


此 视图 中 没有 可 显示 的 项 目 。 


1 D:\FTINDOWS\systen32\dsa nse 

2 D: ‘FTIDOWS\systen32\epedit nse 
3 D: MTNDOWS\.. \conpagnt. nse 

4 D:\WINDOWS\... \dnsngnt. nse 


退出 gg 


| 
独立 | 扩展 | 
使 用 此 页 来 添 加 或 各 院 控 制 台 的 管理 单元 下 局 


人 | 


Mierosoft Corpore. 
翻 性 能 日 志和 警报 Microsoft Corpora ， 
Microsoft Corpore. 
Microsoft Corpors, 
Microsoft Corpore.,. 
Mierosoft Corpore. 


Microsoft Corpors. 
Nicrosoft Corpora. 


擅 术 Microsoft Corpora. ， 
撕 述 
Em i | X59 


m0 | 


图 2-59 “添加 /删除 管理 单元 "对话 框 图 2-60 “添加 独立 管理 单元 ”对话 框 
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欢迎 使 用 组 策 略 向 导 昌 
| 


在 Aetive Tireetery 中 于 本 


请 用 “浏览 ” 按 纽 以 选择 组 策略 对 象 


" 


完成 职 消 
图 2-61 本 地 组 策略 


EEEEEEI 下 区 
城 /ous | 站 点 | 计算 机 | 全 部 | 


查找 范围 中 ; | 嘟 FEED = 
域 、0U_ 和 赃 接 的 组 第 略 对 象 为 
称 域 
omnin Controllers es com 
ios. es cm 
本 Docwmat pmuin Policy 


Ewe | wu | 
图 2-62 浏览 域内 的 其 他 组 策略 


文件 下) ” 换 作 从 ) 查看 WV) 收藏 洋 Q) 窗口 如 帮助 0 


Policy [ann. es com] 策略 \ 计 等 


Default Domain Policy [aaa 

机 

四 器 软件 设 轩 

日 国 tindovs 设置 er 
生理 信 板 中 答 理 模 析 

SS 多 用 P 配 轩 
自生 软件 座 轩 
由 - 国 Windovs 设置 

-国营 查 模板 


选 痒 一 个 项 目 来 查看 它 的 挫 柱 - 


-=|Dj xj 


划 \ 扩 展 人 本 讶 7 


图 2-63 组 策略 界面 
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对 于 不 包含 域 的 计算 机 系统 来 说 ,在 图 2-62 所 示 的 对 话 框 中 ,只 有 “计算 机 ”选项 卡 ， ji61 


而 没有 其 他 选项 卡 。 


通过 上 面 的 方法 ,就 可 以 使 用 Windows 2003 组 策略 系统 强大 的 网 络 配置 功能 ,让 管 


理 员 的 工作 更 轻松 和 高 效 。 


232 组 策略 的 内 容 
计算 机 组 策略 主要 可 进行 两 个 方面 的 配置 : 计算 机 配置 和 用 户 配 置 。 计 算 机 配置 是 


对 整个 计算 机 中 的 系统 配置 进行 设置 , 它 对 当前 计算 机 中 所 有 用 户 的 运行 环境 都 起 作用 ; 
用 户 配置 则 是 对 当前 用 户 的 系统 配置 进行 设置 . 它 仅 对 当前 用 户 起 作用 。 计 算 机 配置 和 
用 户 配 置 都 提供 了 停 用 自动 播放 功能 ,但 效果 是 不 同 的 : 如 果 是 在 计算 机 配置 中 选择 了 
该 功能 ,那么 所 有 用 户 的 光盘 自动 运行 功能 都 会 失效 ; 如 果 是 在 用 户 配置 中 选择 了 该 功 
能 ,那么 仅仅 是 该 用 户 的 光盘 自动 运行 功能 失效 ,其 他 用 户 则 不 受 影响 。 


当 计 算 机 配置 与 用 户 配置 发 生 矛 盾 时 ,计算 机 配置 优先 ,其 下 所 有 设置 项 的 配置 都 将 保 


存 到 注册 表 的 相关 项 目 中 。 计 算 机 配置 保存 到 注册 表 的 HKEY_LOCAL_MACHINE 子 树 
中 ,用 户 配置 保存 到 HKEY_CURRENT_USER 子 树 中 。 在 Windows 2003 中 ,组 策略 一 般 
放 在 “系统 安装 :和 \WindowsNSystem32\GroupPolicy"” 文 件 夹 中 ,文件 名 为 gpedit. msc。 


“计算 机 配置 "和 “用 户 配 置 " 中 还 有 3 个 项 目 , 如 图 2-64 所 示 。 


=I9Ix| 


文件 如” 锦 作 扩 ) 查看 | 收藏 天 @) 窗口 加 帮助 0D 
名 | 由 | 加 | 车 |@ 
说 控制 台 根 节点 \“ 本 志 计 算 机 ”策略 \ 计 算 机 配置 Windows 设置 \ 安 全 设置 


图 2-64 组 策略 对 象 


软件 设置 : 用 于 对 已 经 安装 好 的 软件 进行 管理 和 维护 。 

Windows 设置 : 用 于 系统 或 用 户 的 开关 机 脚本 和 系统 安全 等 内 容 的 设置 。 

管理 模板 : 主要 用 于 对 系统 、 网 络 、Windows 组 件 等 内 容 进 行 设 置 ,还 可 以 添加 或 
者 删除 管理 模块 。 
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2.4 利用 组 策略 进行 管理 


组 策略 是 Windows 2003 中 提供 的 一 种 重要 的 更 新 和 配置 管理 技术 。 组 策略 与 域 或 
组 织 单位 结合 ,就 能 控制 和 管理 网 络 中 域 用 户 和 计算 机 的 工作 环境 。 组 策略 有 几 百 项 配 
置 ,主要 包括 如 下 功能 : 用 户 工 作 环境 的 设置 .安全 设置 .软件 的 安装 与 删除 .脚本 的 设 
置 ,文件 夹 重 定向 。 


241 创建 和 链接 组 策略 对 象 


组 策略 设置 存储 在 组 策略 对 象 (GPO) 中 , 即 组 策略 是 由 具体 的 组 策略 对 象 来 实现 
的 。 根 据 组 策略 对 象 的 作用 范围 ,可 分 为 两 种 类 型 。 

(1) Active Directory 组 策略 对 象 存储 在 控制 器 上 ,只 能 在 活动 目录 环境 下 使 用 , 适 
用 于 组 策略 所 作用 的 站 点 , 域 ` 组 织 机 构 中 的 用 户 和 计算 机 。 

(2) 本 地 组 策略 对 象 只 存在 一 台 计 算 机 上 ,只 对 本 地 用 户 及 该 计算 机 起 作用 。 

当 多 个 组 策略 在 一 起 时 ,执行 的 顺序 是 本 地 组 策略 活动 目录 的 站 点 策略 、 活 动 目录 
的 域 策略 、 活 动 目录 的 组 织 单位 策略 。 当 这 些 策略 不 一 致 时 ,后 应 用 的 策略 覆盖 前 一 个 策 
略 。 在 活动 目录 层次 结构 的 每 一 级 组 织 单位 中 ,可 以 链接 一 个 、 多 个 或 不 链接 组 策略 对 
象 。 如 果 一 个 组 织 对 象 链接 了 多 个 组 策略 , 则 按 管 理 员 制定 的 顺序 处 理 , 较 前 位 置 的 组 策 
略 具 有 较 高 的 优先 权 。 

下 面 介绍 如 何 建立 组 策略 和 链接 组 策略 。 

1. 建立 组 策略 

例如 ,要 在 gs. com 域 中 建 一 个 组 织 单位 is, 并 为 之 建立 一 个 组 策略 。 操 作 步 又 如 下 : 

(1) 选择 “开始 ”一 “程序 ”~ 管理 工具 ”Active Directory 用 户 和 计算 机 ”命令 , 打 
开 “Active Directory 用 户 和 计算 机 ?窗口 ,如 图 2-65 所 示 。 


过 文件 下。 操作 查看 WD 窗口 和 D 帮助 00 
和 小 | 知 | 四 | 谍 | 久 加 加 | 久 | 站 想 徊 了 稳 妆 


此 视图 中 没有 可 星 示 的 项 目 。 


2-65 “Active Directory 用 户 和 计算 机 ”窗口 
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(2) 选 定 gs. com, 在 工作 区 右 击 , 在 弹出 的 快捷 菜单 中 选择 “新 建 "命令 ,并 在 对 话 框 163 
中 输入 is, 创 建 组 织 单位 is, 如 图 2-66 所 示 。 


各 hctive Directory 用 户 和 计算 机 
过 文件 中 凶 查看 轨 窗口 四 帮助 00 
中 小 | 回国 关 取 |X 和 富国 局 | 久 | 涩 刘 四 了 
Active Directory 用 户 和 计算 机 上 本 em ”了 个 对 象 
加 加 保存 的 查询 
日 姥 古 曙 E builtinDonain 
田 国 Builtin 容器 
由 - 国 Conputers 
田 食 Domain Controllers 起 织 单 位 
PoreigSecwityPrincipad | 
je Decaualt contsiner fs 


图 is 


Default container fo 
Default container fo 
Default container fo 


2-66 ”新 建 组 织 单位 is 
(3) 右 击 is, 在 弹出 的 快捷 菜单 中 选择 “属性 ?命令 ,如 图 2-67 所 示 。 
志文 伞 加“ 换 作 内 查看 中。 窗口 呈 。 帮助 0 


+ 了 | 白 加 | 其 晶 |X 团 万 楷 | 对 | 油 闻 蜀 了 朋 厂 
Active Directory 用 户 和 计算 机 | 本 em 


builtinDomain 
三 - 国 Conputers 容器 Default container fo 
外国 Conputers Demsin con .组织 单位 etenilt oontiimer £0. 


由 图 Domain Controllers 
~ 和 国 zersimsee .， 容 器 Default container £0... 
由 - 国 PoreiemsecurityPrineipal 姐 织 单位 


加 ios 
由 国 is 


-Builtin 


Default container fo 


图 2-67 组 织 单位 is 的 快捷 菜单 


(4) 在 “is 属性 ”对 话 框 中 单 击 “ 组 策略 ”标签 .打开 “组 策略 ”选项 卡 ,如 图 2-68 所 示 。 

(5) 单 击 “ 新 建 " 按 钮 ,在 对 话 框 中 输入 组 策略 对 象 的 名 称 is. 并 选中 is 组 策略 对 象 ， 
如 图 2-69 所 示 。 

(6) 单 击 “ 编 辑 ” 按 钮 ,在 “组 策略 编辑 器 ”窗口 中 对 它 进行 编辑 ,如 图 2-70 所 示 。 


4 


计算 机 网 络 管理 与 安全 
64 2 了 
常规 | 管理 者 | comt 。 姐 策 路 | 第 钢管 理 者 | cogt 。 担 第 咯 | 
(a9 is 的 当前 址 第 略 对 象 链接 9 is 的 当前 组 策略 对 象 链接 
TREE ETE 
TE 
列 束 中 较 高 位 置 的 幅 第 略 对 象 具 有 最 高 的 优先 可 - 列表 中 久 高 位 置 的 明 征 格 对 象 具有 最 高 的 忧 先 术 。 
由 aa zs_con 获得 这 一 列表 由 ssa ss eon 区 得 这 一 列表 
新 建 旭 | 添加 .| _ 和 SE | 5 新 建 吕 | 添加 四 | 编辑 四 | a 
ET TT | Pro | 这 项 四 .| 册 D | 属性 | 再 | 
厂 阻止 第 本 继承 B) 厂 阻止 第 栈 继 承 四 ) 
Cw | | Ew | anw | 
图 2-68 “is 属性 ”对 话 框 图 2-69 新建 的 is 组 策略 对 象 
PEEIT TE 攻 =|DIx| 
文件 四 哲 作 () 查看 四。 帮助 0 
+* | 四 | 针 思 | 久 
Iie Tove er con] 
A 
申 国 wina s 设置 Ts 计划 机 卫生 
Pk 用 户 配置 
由 - 国 | 软件 设置 
申 - 国 indows 设置 
由 - 国 管理 模板 
| 
sR A = = 
[ I 
图 2-70 “组 策略 编辑 器 "窗口 
2. 链接 组 策略 x 


下 面 介绍 如 何 进 行 组 策略 对 象 的 链接 。 
例如 ,将 ios 的 组 策略 对 象 链接 到 is 上 .操作 
步骤 如 下 : 

(1) 打开 “is 属性 ”对 话 框 ,选中 “组 策略 ” 
选项 卡 ,如 图 2-71 所 示 。 

(2) 单 击 “ 添 加 ”按钮 ,在 “添加 组 策略 对 象 
链接 ”对 话 框 中 打开 “全 部 ”选项 卡 ,如 图 2-72 
所 示 。 

(3) 选择 ios, 单 击 “ 应 用 ”按钮 ,如 图 2-73 
所 示 。 

这 时 就 将 组 织 单位 ios 的 组 策略 对 象 链接 


行规 | 管理 者 | cont 。 起 第 路 | 
a$ is 的 当前 组 策略 对 象 链接 


列 囊 中 较 高 位 置 的 组 第 略 对 象 具有 最 高 的 忧 先 权 。 
由 waa_ gs. co 获得 这 一 列表 


于 建 吕 添加 D.. 茶 相 区) 
选项 中 -| 芭 除 加 )--， 属性 EE) 


厂 阻止 策略 继承 到 ) 


BE 
BE 


到 请 EY 


图 2-71 “is 属性 ”对 话 框 
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ETEEIEEEE3 TE| 


城 /ous| 站 点 全 部 | 


| 


存储 在 丰 域 中 的 所 有 诅 第 略 对 象 ; 


wy 
这 项 四 | 其中 .| _ 司 性 wD | mrtw | 
厂 阻止 策 咯 怠 承 吧 ) 
确定 职 消 ] 关闭 开 消 应 用 的) 
图 2-72 “添加 组 策略 对 象 链接 ”对 话 框 “全 部 ”选项 卡 图 2-73 添加 以 后 的 组 策略 


到 组 织 单位 is 上 , 单 击 * 向 上 ”“ 向 下 ”按钮 可 调整 组 策略 对 象 的 顺序 ,控制 其 对 系统 的 配 
置 的 影响 。 


242 利用 组 策略 管理 用 户 环境 实例 


利用 组 策略 按 网 络 的 规划 要 求 进行 管理 ,将 极 大 地 降低 管理 成 本 。 管 理 员 只 需要 设 
置 一 个 组 策略 对 象 ,然后 把 它 施 于 相应 的 域 或 组 织 单位 即 可 。 当 然 管 理 员 也 可 以 将 多 个 
组 策略 对 象 施 于 一 个 被 管理 对 象 , 取 它 的 全 加 效果 。 下 面 通过 3 个 实例 进行 说 明 。 

(1) 隐藏 用 户 桌 面 的 "我 的 电脑 ”和 ”我 的 文档 "图标 。 

(2) 使 某 一 部 门 的 员工 不 能 运行 Word 程序 。 

(3) 对 某 部 门 的 员工 安装 某 一 应 用 程序 netinfo。 

注意 : 下 列 操 作 前 提 条 件 是 已 建立 组 织 单位 abc 且 内 有 用 户 userl 并 建立 了 组 策略 


对 象 abe。 bs 
1. 隐藏 组 织 单位 abe 的 用 户 桌 面 的 “网 上 邻 | 守 n | aa| om sa | 
居 ” 和 “我 的 文档 "图标 要 改进 组 策略 管理 ,请 升 朗 到 | 组 第 略 管理 控制 台 (SPWC)， 


(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 
“Active Directory 用 户 和 计算 机 ”命令 在 “Active 
Directory 用 户 和 计算 机 ?窗口 的 组 织 单位 abc 上 
右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 
“abc 属性 ”对 话 框 中 打开 “组 策略 ”选项 卡 ,如 。 sm 
图 2-74 所 示 。 | 

(2) 单 击 “编辑 ”按钮 ,在 “组 策略 编辑 器 ” 窗 


有 厂 阻止 第 路 各 承 到 ) 
口 选择 “用 户 配 置 ”~* 桌 面 ” 命 令 , 如 图 2-75 所 示 。 


(3) 选择 “删除 桌面 上 的 “我 的 文档 图 标 ” 
命令 ,在 “删除 桌面 上 的 “我 的 文档 "图 标 属性 ”对 图 2-74 组 织 单位 abe 的 属性 界面 
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TTTE Ea 
文件 四 换 作 QI) 查看 中。 帮助 o 
和 二 | 后 | 四 | 芭 | 欠 
可 be [zhao gs ceo] 策略 
日 加 计算 机 配 轩 
二 加 软件 设置 一 个 项 目 来 查看 它 的 六 Y 
向 国 findows 设置 RE 人 Active Desktop 
由 . 国 | 管理 模板 Active Direetery 
日 唱 有 和 隐 基 和 禁用 桌面 上 的 所 有 项 目 3 
Ei 删除 不 而 上 的 “我 的 文档 ”图 标 3 
昌国 管理 模板 [生出 除 点 面 上 的 “我 的 电脑 ”图 标 
由 - 国 Yindows 组 件 从 和 面条 除 回收 站 J 
国 任务 栏 和 [开始 ] 菜 鲜 从 “我 的 文档 ”上 下 文 荣 单 中 出 及 “ 尿 性 " 
sm 全 从“ 我 的 电脑 上下文 菜 单 中 贡 除 “ 司 性 ” 3 
国 Active Desktop 凶 删 除 “ 园 收 站 ”上 下 文 菜单 的 属性 
多 Active Director 全 隐语 点 面 上 “网 上 邻居 ”图 标 3 
由 国 控制 面板 鲁 隐 请 复 面 上 的 Internet Explcrer 图 标 了 
上 国共 享 文件 夹 饼干 要 格 最 近 打 开 的 文档 的 共享 添加 到 “网 上 分居” ky 
日 国税 鲁 森 止 用 户 更 疏 “ 玫 FI 文档 ” 路径 
外国 系统 人 鱼 茜 止 添 加 、 拖 、 放 和 关闭 任务 栏 的 工具 栏 习 
茜 用 调整 大 面具 栏 
退出 时 不 保存 设置 3 
合 出 除 洁 理 点 面向 导 3 
天 | 到 
LH | 划 \ 扩 展 人 村 证 7 
| | 


图 2-75 组 策略 中 桌面 的 可 选择 项 


话 框 中 选择 “已 启用 ”选项 , 单 击 “ 确 定 ” 按 钮 ,如 图 2-76 所 示 。 
(4) 选择 “删除 桌面 上 的 "我 的 电脑 "图标 ”命令 ,在 “删除 桌面 上 的 "我 的 电脑 ?图 标 属 
性 ”对 话 框 中 选择 “已 启用 ”选项 , 单 击 “ 确 定 ” 按 钮 .如 图 2-77 所 示 。 


了 zx 耻 xl 
设置 | 说 明 | 设置 | 说 明 | 

全 而 上 的 “我 的 六 档 "图标 名 gp 各 面 上 的 “我 的 电 入 "图标 

个 未 也 置 已 个 未 配置 CC 

€ EB 

个 已 禁用 中 广 已 药 用 四 ) 

支持 于 : 至 少 Microsoft Windows 2000 支持 于 - 至 少 Mierosoft Windows XP Professional 或 

上 一 设置 2) 下 一 设置 中 上 一 设置 E) 下 一 证 中 
Ce] ws | mw | Cue] we | maw | 


图 2-76 删除 桌面 上 的 “我 的 文档 ”图 标 图 2-77 删除 桌面 上 的 “我 的 电脑 "图标 
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(5) userl 用 户 桌面 前 后 的 变化 如 图 2-78 和 图 2-79 所 示 。 


图 2-78 隐藏 图 标 前 的 桌面 图 2-79 隐藏 图 标 后 的 桌面 


2. 禁止 组 织 单位 abe 的 用 户 运行 Word 

(1) 打开 程序 "Active Directory 用 户 和 计算 机 ?窗口 ,在 组 织 单位 abc 上 布 击 ,在 弹出 
的 快捷 菜单 中 选择 “属性 ”命令 ,在 abc 属 
性 ”对 话 框 中 打开 “组 策略 ”选项 卡 , 如 
图 2-80 所 示 。 

(2) 单 击 “ 编 辑 ” 按 钮 ,在 “组 策略 编辑 
器 "窗口 中 选择 “系统 ”一 “不 要 运行 指定 的 
Windows 应 用 程序 ”命令 ,如 图 2-81 所 示 。 

(3) 在 “不 要 运行 指定 的 Windows 应 
用 程序 属性 ”对 话 框 中 选择 “已 启用 ” 单 选 
按钮 ,如 图 2-82 所 示 。 


(4) 单 击 “ 显 示 " 按 钮 ,在 “添加 项 目 " 对 “| | 本 和 下 


话 框 中 输入 要 被 禁止 的 程序 winword. 


exe, 如 图 2-83 所 示 。 ena 

(5) 单 击 * 确 定 * 按 钮 ,使 组 策略 生效 。 
用 户 运行 Word 时 将 出 现 如 图 2-84 所 示 的 图 2-80 “abe 属性 "对 话 框 
“限制 "提示 框 。 


3. 为 组 织 单位 abc 用 户 安装 应 用 程序 NetInfo 

使 用 组 策略 部 署 应 用 程序 有 发 布 和 指派 两 种 。 发 布 需要 用 控制 面板 中 的 添加 删除 程 
序 来 协助 安装 。 指 派 则 是 自动 安装 程序 的 快捷 方式 ,等 用 户 应 用 时 再 进行 安装 。 被 安装 
程序 的 格式 必须 是 . msi, msi 是 网 络 安装 版 的 缩写 。 应 用 程序 . NetInfo. msi 已 经 放 在 服 
务 器 上 的 共享 文件 夹 abc 内 。 
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文件 下 ) ” 换 作 惧 ) 查看 W) 才 助 0D 
中 +| 关 | 四 | 办 对 | 多 


如 abe [zhao. gs- com] 策略 


日 可 计算 机 配 轩 
国 软件 设置 
由 - 国 Yindows 设置 
四 回 管理 模板 
日 卉 用 户 配置 
昌国 软件 设置 
由 - 国 Windows 设置 全 
国 Tnternet 通信 管理 
日 和 外 pe 全 登录 时 不 显示 欢迎 屏幕 未 被 配置 
i 遇 2000 年 份 转译 未 该 且 置 
是 全 名 栏 和 [开始 | 菏 | 使 配 和 36a 程 查找 位 和 未 六 本 轩 
外 鲍 设备 驱动 程序 的 代码 签名 未 该 也 置 
加 共享 文件 闪 鲁 自 定义 用 户 界 面 未 被 配置 
日 自 网 络 全 阻止 访问 命 信 提 示 符 未 被 配置 
白 乌 硕 师 包 阻止 访问 注册 表 编 加 工具 未 祯 配置 
辐 用 户 配置 文件 内 运行 许可 的 Winaews 应 用 程序 未 被 配置 
加 mE 于 未 该 肝 填 
国 Cerltitthel 违 2 未 被 配置 
国 到 录 便 限 制 这 些 程序 从 帮助 自动 未 锌 配置 
国 组 第 角 下 载 玲 失 的 con 组 件 未 守 配 置 
四 由 要 首 理 饼 Windors 自动 更 新 未 被 了 o 置 
外- 回 Internet 通信 入 | 使 关 闭 Windows Updste 设备 驱动 程序 搜索 提示 未 被 配置 
4 天 x 本 属 入 标 叭 / 
图 2-81 组 策略 中 系统 的 设置 
不 要 运行 指定 的 Windors 应 用 程序 属性 zl 
设置 | 说 明 | 
筷 不 要 运行 指定 的 Windovs 应 用 程序 
个 未 配置 
人 EB 用 | 
个 已 茜 用 吕 ) 
不 允许 的 应 用 程序 的 列表 显示 .| 


支持 于 : 至 少 icrosoft Windows 2000 
上 | 下 一 设 要 @ 本 次 光 作 由 于 这 台 计 算 机 的 限制 而 取消 。 语 与 几 的 系统 营 理 员 联 系 ， 


Ce] ww | mew | 
图 2-82 属性 设置 界面 图 2-84 用 户 运行 Word 时 得 到 的 提示 


(1) 打开 “Active Directory 用 户 和 计算 机 ”窗口 ,在 “组 织 单位 abc”" 上 右 击 ,在 弹出 的 
快捷 菜单 中 选择 “属性 ”命令 ,在 abc 属性 ”对 话 框 中 打开 “组 策略 ”选项 卡 ,如 图 2-85 
所 示 。 
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EE] 69 
富 规 | 管理 者 | cot 。 组 第 略 | 
要 改进 组 策 路 首 理 ,请 升 弘 到 姐 策略 管理 控制 台 (GPNC)。 


上 三 abe 的 当前 组 策略 对 象 链接 


列表 中 较 高 位 置 的 组 策略 对 旬 具 有 最 高 的 忧 先 权 。 
由 zhae. gs com 获得 这 一 列表 


新 建 如 | 天 加 由， | 。 编 相 加) 请 
选项 上 中) - MF). | 属性 到 ) 疝 下 


厂 阻止 策略 继承 到 ) 


CD ww | me 
图 2-85 组织 单 位 abe 的 属性 


(2) 单 击 “ 编 辑 ” 按 钮 ,在 “组 策略 编辑 器 "窗口 选择 “用 户 配置 "一 “软件 设置 "命令 ,如 
图 2-86 所 示 。 


WEET I ECE] 
文件 下) 换 作 由) 查看 WD 帮助 0D 


此 视图 中 没有 可 显示 的 项 目 . 


图 2-86 组 策略 界面 


(3) 右 击 “软件 安装 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 ”>“ 程 序 包 ”命令 ,如 图 2-87 
所 示 。 


(4) 在 “打开 ”对 话 框 的 “查找 范围 "下 拉 列 表 框 中 选择 共享 文件 夹 abc, 并 选中 要 安装 
的 程序 ,如 图 2-88 所 示 。 


(5) 单 击 “ 打 开 ” 按 钮 ,在 “部 署 软件 ”对 话 框 中 选择 “已 指派 * 单 选 按钮 ,如 图 2-89 
所 示 


(6) 单 击 “ 确 定 ” 按 钮 ,NetInfo 程序 就 安装 完毕 ,如 图 2-90 所 示 。 


abe [zhao. gs- com] 策略 
中 园 计算机 配 和 村 y 夭 的 项目。 
加 国 软件 设置 此 视图 中 没有 可 显示 的 项 目 
外 - 固 Windors 设置 
板 


划 
后 加 程序 包 。 I 
2-87 新 建 程序 包 
了 下 zx 
查找 范围 Gj: | 己 sbe 在 zhee 上 DD Sy 
我 最 近 的 文档 
【时 
点 而 
文件 名 四- seineo msi 了 
文 寺 到 Gasaws etale 软件 包 ni) 可 | 


图 2-88 选择 要 安装 的 程序 


| 
远近 部 轩 方 法 : 
广发 布 四 
© INRA 
个 商 江 也 


Cw |] mw | 


图 2-89 “部 署 软件 ”对 话 框 
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文件 下 操作 人 ) 查看 WW) 帮助 00 


2-90 设置 完成 


使 组 策略 生效 ,以 userl 用 户 登 录 , 即 可 在 “开始 ?菜单 中 见 到 NetInfo 的 图 标 。 
2.5 综合 实 训 


实 训 目的 : 学 习 用 活动 目录 管理 局 域 网 ,并 学 会 用 组 策略 控制 用 户 和 计算 机 的 设置 。 
实 训 案 例 : 某 单位 局 域 网 需 进 行 如 下 设置 : 
。 前 台 组 的 计算 机 只 能 运行 Office 和 IE。 
。 财务 组 用 户 的 “开始 ”菜单 中 不 能 有 “运行 "项目 。 
操作 过 程 : 
1. 前 台 组 的 计算 机 只 能 运行 Office 和 IE( 假 设 前 台 组 的 计算 机 JSJJYS8 已 加 入 域 ) 
(1) 选择 “开始 ”一 “程序 ”>“ 管 理工 具 ”->“Active Directory 用 户 和 计算 机 ”命令 , 打 
开 “Active Directory 用 户 和 计算 机 ”窗口 ,如 图 2-91 所 示 。 
各 Active Directory 用 户 和 计算 机 
志文 件 四 换 作 由 查看 W) 窗口 中 帮助 中 | lelzdl 


和 省 | 外 | 轩 | 交 章 | 六 区 轩 图 | 国 | 活 座 物 了 了 通 立 
1 个 对 象 


JSJJYSS 计算 机 


图 2-91 “Active Directory 用 户 和 计算 机 ”窗口 


合计 算 机 网 络 管理 与 安全 
Va (2) 新 建 组 织 单位 qiantaizu, 如 图 2-92 所 示 。 
四 
龟 |] 创 肚 在 : gs comy 


名 称 风 -: 


pinesim 


图 2-92 ”新 建 组 织 单位 qiantaizu 


(3) 右 击 JSJJYS8 ,在 弹出 的 快捷 菜单 中 选择 “移动 ”命令 ,将 计算 机 JSJJYS8 移入 
qiantaizu, 如 图 2-93 所 示 。 


由 - 国 保存 的 查询 
日 多 es cm 
图 we 
国 puiltin 
Conputers 
Domain Controllers 
国 ForeigSecurityPrincipe 


园 Vsers 
iantairn 


图 2-93 将 计算 机 移入 组 织 单位 qiantaizu 


(4) 右 击 组 织 单位 qiantaizu. 在 弹出 的 快捷 菜单 中 选择 “属性 ?命令 .在 “qiantaizu 属 
性 ”对 话 框 的 “组 策略 ”选项 卡 中 单 击 “ 新 建 " 按 钮 ,建立 组 策略 对 象 giantai, 如 图 2-94 
所 示 。 

(5) 单 击 “ 编 辑 ” 按 钮 ,在 “组 策略 编辑 器 "窗口 选择 “计算 机 配置 ">“Windows 设置 ”一 
“安全 设置 ”>“ 软 件 限制 策略 ”命令 ,如 图 2-95 所 示 。 

(6) 右 击 “软件 限制 策略 ”, 在 弹出 的 快捷 菜单 中 选择 “创建 软件 限制 策略 ”命令 ,如 
图 2-96 所 示 。 
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列表 中 较 高 位 置 的 崩 策 略 对 象 具有 最 高 的 优先 可- 
由 zhao. gs com 获得 这 一 列表 
ee i ee ew | 
过 项 四 | 开除 中. ErFo al 
厂 阻止 第 略 继承 咽 ) 


关闭 取 六 | 及 
图 2-94 建立 组 策略 对 象 qiantai 图 2-95 选 定 软件 限制 策略 


FEEEIEB 
文件 四 ” 折 作 W) 查看 WD 帮助 0D 
和 小 | 外 | 加 | 包 

eaiwu [zhao. gs. com] 策略 


日 枚 计算 轴 e 置 
ee Li 和 证 区 全 限 人 策略 


| 


| ， 在 “操作 ”菜单 上 ， 单 击 “ 凶 建 软件 


由 国 inaaovs 设 | 
四 -加 管理 极 板 “性 各 盈 o) 


图 2-96 建立 软件 限制 策略 


对 上 述 软 件 限制 策略 作 如 下 变化 : 
。 安 全 级 别 设置 :“ 不 允许 的 ”为 默认 的 安全 级 别 。 
。 其 他 规则 设置 : 新 建 的 路 径 规则 ,如 表 2-1 所 示 。 
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表 2-1 新 建 的 路 径 规则 


路 径 规 则 安全 级 别 
% Windir% \System32\cmd. exe 不 允许 的 
KWindir% 不 受 限 的 
% ProgramFiles % \Microsoft Office\Office 不 受 限 的 
% ProgramFiles % \Common Files\Microsoft Shared\ 不 受 限 的 
% ProgramFiles% \Common Files\System 不 受 限 的 
% ProgramFiles% \Internet Explorer\ 不 受 限 的 
\\logonsrv\logonscripts $ 不 受 限 的 
C:\Documents and Settings 不 受 限 的 


。 当 默 认 安 全 级 别 设 定 为 不 允许 时 ,系统 为 了 保证 不 会 锁定 用 户 自己 或 其 他 用 户 的 
常规 操作 ,自动 生成 了 4 条 路 径 规则 ,如 表 2-2 所 示 。 
表 2-2 默认 安全 级 别 为 “不 允许 的 ”路径 设置 
路 径 规则 安全 级 别 
% HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT\ 


CurrentVersion\SystemRoot% 

% HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT\ 
CurrentVersion\SystemRoot%\ * . exe 

% HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT\ 
CurrentVersion\SystemRoot% \System32\ * . exe 

% HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ 
CurrentVersion\ProgramFilesDir % 


不 受 限 的 


不 受 限 的 


不 受 限 的 


不 受 限 的 


将 其 中 的 第 4 条 路 径 改 为 %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 
Windows\CurrentVersion\ProgramFilesDir%\ Microsoft Office。 

操作 分 析 : 本 操作 中 的 应 用 程序 安装 是 按 默认 路 径 进行 的 。 上 述 条 目 中 以 狼 开 头 和 
结尾 的 是 环境 变量 或 系统 变量 ,表示 应 用 程序 的 安装 路 径 。 有 些 条 目 使 用 了 本 实验 机 的 
绝对 路 径 , 可 针对 实际 情况 进行 调整 。 整 个 操作 的 核心 是 使 有 些 应 用 程序 所 在 的 文件 夹 
有 运行 权 , 使 男 外 一 些 应 用 程序 不 具有 运行 权 。 

2. 财务 组 用 户 的 “开始 "菜单 中 不 能 有 “运行 "项 目 

操作 步骤 (1) 一 (4) 与 上 例 的 (1) 一 (4) 相 同 , 只 是 将 组 织 单位 qiantaizu 换 成 组 织 单位 
caiwuzu, 将 计算 机 JSJJYS8 移入 组 织 单位 换 成 将 用 户 userl 移入 组 织 单位 caiwuzu, 将 组 
策略 对 象 qiantai 换 成 组 策略 对 象 caiwu。 

(5) 单 击 “ 编 辑 ” 按 钮 ,在 “组 策略 编辑 器 ”窗口 选择 “用 户 配 置 ">“ 管 理 模板 ”一 “任务 
栏 和 [开始 | 菜单 >“ 从 [开始 | 菜单 中 删除 “运行 "菜单 ”命令 ,如 图 2-97 所 示 。 

(6) 在 “从 [开始 | 菜单 中 删除 “运行 ' 莱 单 属 性 ”对 话 框 中 选中 “已 启用 ” 单 选 按 钮 , 单 
击 “ 确 定 ” 按 钮 ,如 图 2-98 所 示 。 

(7) 使 组 策略 生效 ,以 userl 登录 caiwuzu 计算 机 , 即 可 看 到 “运行 "菜单 已 删除 ,如 
图 2-99 所 示 。 
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号 caiwvu [zhao. gs- com] 策略 
日 加 上 i 从 [开始] 菜单 删除 用 户 文件 夷 
i 合 出 除 到 “windovs Update” 的 访问 和 链接 
从 「 开 始 | 菜单 出 除 公用 程序 组 


合作 [开始 | 菜单 中 遇险 “我 的 文档 ” 图标 
鲍 从 [开始 | 菜单 上 出 除 “文档 ”菜单 
- 鱼 从 设置 区 单 加 除 程 订 
申 国 Yiadows 设置 鱼 人 [开始 | 荣 单 扣除 “网 络 和 连接" 
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四 国 indovs 组 件 合作 [开始 |」 菜单 中 册 除 “ 收 启 赤 ”菜单 


从 「 开 始 」 荣 单 中 册 除 “搜索 ”菜单 


角 从 「 开 始 | 菜单 中 山 除 “我 的 音乐 ”图 标 
鲁 从 「 开 始 | 菜单 中 册 除 “网 上 邻居 ”图 标 


鱼 格 “注销 ”添加 到 | [开始 | 菜单 
合 删 2 「 开 膏 | 到 的 上 的 “ 注 贸 ” 


图 2-97 在 组 策略 中 删除 “运行 "菜单 
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图 2-98 设置 删除 项 目 启用 图 2-99 实际 效果 


2.6 本 章 小 结 


本 章 在 单 域 模 式 下 介绍 了 Windows Server 2003 活动 目录 的 使 用 .重点 说 明了 域 . 用 
户 、 组 ,组 织 单位 的 概念 ,管理 操作 及 使 用 方法 ,同时 介绍 了 组 策略 概念 、 组 策略 的 内 容 
以 及 组 策略 的 编辑 方法 ,通过 实例 介绍 了 如 何 用 组 策略 在 基于 组 织 单位 的 基础 上 对 用 
户 或 计算 机 进行 管理 的 方法 。 和 希望 读者 将 Windows 2003 操作 系统 提供 的 基于 局 域 网 


合计 算 机 网 络 管理 与 安全 
?6 的 服务 器 /客户 机 管理 方法 与 对 等 网 的 管理 方法 进行 比 对 ,举一反三 ,在 今后 的 管理 中 
熟练 使 用 。 


2.7 本 竟 习 题 


. 简 述 域 . 组 、 组 织 单位 的 区 别 。 

. 简 述 本 地 用 户 、 域 用 户 的 区 别 。 

. 禁止 某 单位 行政 组 计算 机 运行 Outlook Express。 
. 只 允许 某 单 位 服务 组 用 户 运 行 Microsoft Office。 
. 简 述 组 策略 的 执行 次 序 。 


am wm 
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Windows 2003 服务 器 的 架设 


本 章 内 容 : 

前 两 章 主 要 学 习 了 Windows 2003 对 于 网 络 资源 的 管理 功能 。 本 章 主 要 介绍 
Windows Server 2003 网 络 服务 功能 , 即 对 Internet/Intranet 环境 的 支持 ,这 里 只 介绍 
DNS、DHCP 及 IIS 的 服务 功能 。 和 希望 通过 学 习 为 网 络 系统 集成 和 网 络 应 用 的 开发 打 
下 一 定 的 基础 。 

本 章 重 点 : 

@ 了 解 DNS、DHCP 的 工作 原理 ,掌握 DNS 和 DHCP 的 配置 方法 与 技巧 ,学 会 加 
强 其 安全 性 的 管理 手段 。 

@ 理解 IIS 的 作用 ,掌握 用 IIS 架设 WWW、FTP 站 点 的 方法 ,掌握 管理 站 点 的 方 
法 与 技巧 ,理解 使 用 虚拟 目录 的 意义 。 

人 @ 通过 学 习 掌 握 架 设 服务 器 的 一 般 方法 ,并 能 用 第 三 方 提供 的 软件 架设 Internet/ 
Intranet 环境 下 常用 的 服务 器 。 


传统 局 域 网 的 资源 共享 方式 已 不 能 满足 人 们 对 信息 的 需求 ,人 们 迫切 地 需要 更 多 形 
式 的 网 络 服务 。Windows 2003 操作 系统 顺应 这 一 变化 ,推出 了 基于 TCP/IP 协议 的 各 种 
组 件 来 支持 常见 的 网 络 服务 ,下 面 就 进行 简单 的 介绍 。 


3.1 DNS 服务 器 的 架设 


3.1.1 DNS 原理 


DNS(Domain Name System, 域 名 系统 ) 是 TCP/IP 网 络 架构 中 非常 重要 的 一 个 系 
统 。 域 名 系统 DNS 的 出 现 ,满足 了 庞大 网 络 的 域名 翻译 需求 。DNS 可 以 将 主机 名 转换 
成 实际 的 IP 地址 ,还 可 以 把 IP 地 址 翻译 成 主机 名 ,这 种 翻译 的 过 程 称 为 域名 解析 。 负 责 
域名 解析 的 服务 器 称 为 域名 服务 器 。 

DNS 服务 器 用 人 们 熟悉 的 英文 名 称 ( 例 如 ,www. baidu. com) 代 替 其 对 应 的 IP 地 址 
(例如 ,202. 108. 22. 5) 来 完成 相应 的 地 址 定位 和 服务 。 
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78 在 因特网 中 各 网 络 的 域名 服务 器 构成 了 分 布 的 域名 数据 库 系统 ,每 一 个 网 络 的 域名 
系统 维护 自己 所 在 域 的 数据 库 信 息 , 各 DNS 按照 一 定 的 协议 提供 数据 库 信息 检索 和 查 
询 。 为 了 保证 DNS 服务 能 够 提供 可 靠 的 解析 服务 ,通常 在 一 个 网 络 内 要 建立 一 个 主 
DNS 服务 器 和 至 少 一 个 辅 DNS 服务 器 。 
1. DNS 域名 空间 
DNS 的 结构 是 一 种 树 型 结构 ,此 结构 组 成 的 形式 称 为 域名 空间 ,如 图 3-1 所 示 。 


第 一 层 域 加 .net| |.com 
第 二 层 域 myserver.net| |263.net| |163.net 
I 


第 三 层 域 [wwwmyservernal [ep .myserverned] [ansmyserverne [Ehep myserverned 


图 3-1 域名 系统 树 型 结构 


域名 结构 由 若干 部 分 组 成 ,各 分 量 之 间 用 点 号 隔 开 ,其 格式 如 下 : 
……. 三 级 域名 .二 级 域名 . 顶级 域名 


(1) 根 域 (Root Domain)。 根 域 是 树 的 顶级 域 。 在 域名 应 用 时 , 根 域 的 尾部 用 *. ” 表 
示 。 利 用 根 域 ,DNS 域名 才能 被 认为 是 一 个 完整 名 称 并 指向 DNS 域名 称 树 中 的 确切 位 
置 , 这 样 的 域名 形式 称 为 全 限定 域名 (FQDN)。 如 myserver. net, 在 末尾 使 用 了 点 号 “.”。 
(2) 顶级 域 。 现 在 常用 的 最 高 层 顶级 域名 TLD(Top Level Domain) 有 3 大 类 。 
。 国家 顶级 域名 nTLD 采用 ISO 3166 的 规定 ,例如 ,cn 表示 中 国 ,us 表示 美国 等 。 
。 国际 顶级 域名 iTLD 采用 int. 一 般 保留 供 国 际 组 织 使 用 。 
。 通 用 顶级 域名 gTLD, 例 如 ,com( 用 于 商业 组 织 )、net( 用 于 提供 网 络 和 通信 服务 
的 组 织 ) edu( 用 于 教育 机 构 )、org( 用 于 商业 非 赢 利 组 织 )、gov( 用 于 政府 机 构 )、 
mil( 美 国 军事 机 构 ) 等 。 
2. DNS 的 区 域 构成 
DNS 区 域 是 域名 空间 结构 中 的 一 部 分 ,每 一 个 DNS 服务 器 都 会 有 一 个 区 域 , 它 存储 
了 这 个 区 域 中 主机 的 数据 ,用 来 存储 这 些 数据 的 文件 就 称 为 区 域 文件 。 一 个 区 域 所 包含 
的 范围 必须 是 一 个 连续 的 空间 区 域 .每 个 区 域 拥 有 各 自 的 DNS 数据 库 文件 来 记录 该 区 域 
的 数据 。 
DNS 区 域 有 标准 主 区 域 标准 辅助 区 域 和 Active Directory 集成 区 域 3 种 类 型 。 
(1) 标准 主 区 域 存储 着 主机 名 和 IP 地 址 的 解析 记录 。 
(2) 标准 辅助 区 域 主要 存储 主 区 域 的 只 读 副 本 ,当主 区 域 服务 器 工作 负载 过 重 时 , 辅 
助 区 域 将 分 担 一 部 分 工作 ,达到 负载 平衡 的 目的 。 
(3) Active Directory 集成 区 域 存储 本 域 的 主机 名 和 IP 地 址 的 解析 记录 。 只 有 当 此 
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DNS 所 在 服务 器 位 于 域 控制 器 时 方 有 效 。 

3. DNS 的 查询 方式 

DNS 的 主要 目的 是 能 够 将 用 户 提 交 的 域名 或 IP 地 址 转换 为 其 相对 应 的 IP 地 址 和 
域名 ,这 一 过 程 称 为 名 称 解析 。DNS 为 了 能 够 完成 此 操作 , 则 需 查 找 一 个 数据 的 集合 ,对 
于 这 样 的 数据 进行 查找 ,其 方法 通常 有 两 种 。 

(1) 递归 。 若 域名 为 abc. myserver. net 的 主机 想 要 知道 另 一 个 域名 为 www. r. abc. 
net 的 主机 的 IP 地 址 ,可 以 先 向 其 本 地 域名 服务 器 dns. myserver. net 提出 查询 请 求 。 由 
于 本 域 DNS 不 知道 其 他 域 的 信息 . 查 不 出 此 域名 对 应 的 IP 地 址 。 继 而 向 其 上 一 级 net 
域 的 DNS 服务 器 dns. net. 提出 查询 。 根 据 被 查询 的 域名 中 的 abc. net, 再 向 授权 域名 服 
务 器 dns. abc. net 发 送 查 询 报 文 ,然后 将 此 查询 交 给 dns. r. abc. net。 此 域名 服务 器 记录 
了 www.r.abc. com 的 IP 地 址 , 则 将 此 查询 结果 按照 原来 的 提交 路 径 反 向 传送 回 给 abc. 
myserver. net 主机 。 这 种 方法 称 之 为 递归 查询 。 

(2) 递归 与 迭代 相 结合 。 在 递归 查询 中 ,各 服务 器 都 要 参与 查询 。 为 了 减轻 顶级 域 
的 域名 服务 器 的 工作 负担 , 根 域名 服务 器 收 到 本 域 中 的 查找 本 域 中 其 他 子 域 的 申请 时 ,可 
以 直接 将 申请 发 送 给 其 域名 服务 器 ,查询 结果 也 由 此 服务 器 直接 提交 给 提出 请 求 的 域名 
服务 器 。 


3.12 DNS 的 服务 器 安装 


DNS 的 服务 器 的 安装 步骤 : 

(1) 选择 “开始 ”>“ 控 制 面板 ”>“ 添 加 或 删除 程序 ”命令 ,在 弹出 的 “添加 或 删除 程 
序 ” 窗 口中 选择 “添加 /删除 Windows 组 件 " 命 令 . 弹 出 如 图 3-2 所 示 的 “Windows 组 件 向 
导 ” 对 话 框 。 

ET 2 (=olx| 


俩 。 


ET 


= 组 件 一 
可 以 添加 或 肌 除 Windovs 的 组 件 。 | By 
要 
更 改 /删除 
CO 0 eERResawwana 人。 om 
5 
Cd 姐 件 吕 ) 小 12NB 
EG 襄 过 索引 服务 0.0MB 这 小 .29 
团 sr 小 25.7SNB 
i 口 赔 应 用 程序 概 务 器 244M 小 29 
和 口 晨 运 程 实 装 服务 .9 上 时 
Br: 门 入 远 和 在 stm 了 过 1 2amB 
富 * 描述 。 ”也 合 各 种 专门 的 、 网 络 相 关 有 的 服务 和 协议 
所 需 辜 盘 空间 ; 3.5 辐 
可 用 磋 盘 空间 - 12515.3 轿 起 @) 


ww | ww | 


3-2 安装 DNS 服务 


区 


@ “.... 计算 机 网 络 管理 与 安全 


80 (2) 选择 “网 络 服务 " 复 选 框 ,并 单 击 “ 详 细 信 息 ” 按 钮 ,弹出 如 图 3-3 所 示 的 “网 络 服 
务 " 对 话 框 。 
EEC 
3 7 生 和 全 相让 站 的 


网 络 服务 的 子 组 件 CC): 


口 加 Iaternet 验证 服务 


0.0 上 


3 
9 
2 
的 
i 


i ee 0.8 MB 
口 电动 态 主机 配置 协议 DHCP) 0.0 上 
口 可 管 单 TCF/IP 服务 0.0 上 
口 加 域名 系统 DRS) rsw 虽 


描述 : 区 许 EC/DCON 通过 Internet 信息 服务 器 IIS) 的 HTTP 进行 通讯 。 


3.5 有 


所 需 碰 条 空间 : 说 现 信 息 (Y 
可 用 磁盘 空间 12515.3 NB 
eal 


图 3-3 选择 需要 安装 的 组 件 


(3) 选择 “域名 系统 (DNS)" 复 选 框 ,并 单 击 “ 确 定 ” 按 钮 ,在 图 3-2 所 示 的 对 话 框 中 单 
击 “ 下 一 步 ” 按 钮 , 则 系统 会 自动 在 服务 器 上 安装 DNS 服务 ,如 图 3-4 所 示 。 


i -- 


正在 配置 组 件 
安装 程序 正在 根据 您 的 请 求 进行 配置 更 疏 。 


6) 请 御 候 ,安装 程序 正在 肥 置 蛆 件 。 所 花 时 间 取 决 于 渤 定 的 组 件 。 


状态 : 正在 安装 Internet 信息 服务 .. 


Ei 


图 3-4 安装 需要 的 服务 组 件 


当 安 装 完成 后 , 单 击 “确定 ?按钮 退出 。 至 此 .DNS 安装 完毕 。 如 果 要 使 DNS 工作 ， 
还 应 对 其 进行 进一步 的 配置 。 


313 在 DNS 服 务 器 中 创建 搜索 区 域 


配置 DNS 的 服务 通常 包括 两 个 方面 ,一 方面 是 将 域名 转换 为 IP 地 址 , 称 为 正 向 解 
析 ; 另 一 方面 是 将 IP 地 址 转换 为 对 应 的 域名 . 称 为 反 向 解析 。 
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已 知 现 有 一 个 域 ,名 称 为 myserver. net, 当前 域 服务 器 IP 地 址 为 192. 168. 1. 10, 掩 ”81 


码 为 255. 255. 255. 0 ,对 其 进行 配置 使 其 成 为 域 中 的 主 DNS 服务 器 。 
1. 建立 DNS 服务 器 的 正 向 查找 区 域 
其 操作 步骤 如 下 : 


(1) 右 击 “ 正 向 查找 区 域 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 区 域 ”命令 ,如 图 3-5 所 示 。 
[BWS\2003SERYER\ 正 向 查找 区 城 ] -lolx| 
|=lslx 


站 文件 加 操作 内) 查看 (WD 军 口 W) 帮助 0D 
于 字 | 旬 | 轿 | 国 | 鳃 | 目 百 和 
ns 正 向 查找 区 域 


添加 新 区 域 
Te DIS 名 称 空间 分 成 区 域 。 每 个 区 域 存储 有 关 一 个 或 多 个 连续 的 DIS 域 


加 一 个 新 区 域 ， 请 在 “ 拘 作 ” 莱 单 ， 单 击 “ 新 建 区 域 ”。 


| 向导 新 区 城 。 


图 3-5 新 建 区 域 


(2) 在 弹出 的 如 图 3-6 所 示 的 对 话 框 中 有 3 个 单 选 按 钮 可 以 选择 。 


新 建 区 域 向 导 x 
区 域 类 型 S 
DNS 服务 器 支持 不 同类 型 的 区 域 和 存储 。 
E 地 所 个 要 创建 的 区 域 的 类 型 - 
i se 
个 辅助 区 域名 ) 
名 以 和 此 选项 帮助 主 服务 器 平衡 


起 这 主机 J 记录 的 区 


厅 在 Active Direetery 中 存储 区 域 (只 有 DRS 服务 器 是 域 控制 器 时 才 可 用 ) 和) 


sw [ED] ma | 


图 3-6 选择 建立 的 正 向 区 域 类 型 


。“ 主 要 区 域 ”: 在 本 服务 器 上 进行 存储 和 解析 的 区 域 。 
““ 辅 助 区 域 ": 在 其 他 服务 器 上 进行 存储 和 解析 的 区 域 ,只 是 当 其 服务 器 工作 负载 


4 i 计算 机 网 络 管理 与 安全 
82 过 重 时 进行 负载 平衡 而 弃 用 的 备用 区 域 ,也 可 以 为 主 DNS 服务 器 的 异常 进行 错 
误 处 理 。 
*。“ 存 根 区 域 ?>: 用 于 保存 根 区 域 的 信息 .并 不 进行 解析 工作 。 
本 例 新 建 一 个 主 DNS 区 域 .所 以 选择 “主要 区 域 ” 单 选 按 钮 。 
(3) 单 击 * 下 一 步 ? 按 钮 ,弹出 如 图 3-7 所 示 的 对 话 框 ,本 例 是 对 myserver. net 域 的 
DNS 进行 配置 ,所 以 选择 “至 Active Directory 域 myserver. net 中 的 所 有 域 控 制 器 ” 单 选 
按钮 。 
EE 


re 制作 | 
您 可 以 选择 在 网 络 上 加 何 复制 DNS 数据 。 


选择 如何 复制 区 城 数据 : 
太 至 Active Directory 林 nyserver_net 中 的 所 有 DIS 服务 器 册 ) 


个 至 Active Directory 城 wyserver net 中 的 所 有 DNS 服务 器 由) 


如 逆 铀 : 中 的 域 控制 器 上 运行 的 Windows 2000 DRS 服务 器 加 
他 和 在 以 下 应 用 香 序 目录 分 区 的 范 困 内 指定 的 所 有 域 控制 器 忆 


I 下 


ww) ssewed 
图 3-7 选择 DNS 数据 复制 范围 


(4) 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 3-8 所 示 的 对 话 框 。 在 “区 域名 称 " 文 本 框 中 输入 
本 域 的 域名 myserver. net。 


新 建 区 域 向 导 x 
区 域名 称 C 
章 区 域 的 各 称 是 什么 ? E J 


JNS 名 称 空间 | 
» microsoft, ce 
errone nicrosott con)» HE DIS 


区 域名 称 世 )- 
Prserver. se 


有 关 区 域名 称 的 详细 信息 ， 诸 单 击 “ 郡 助 ”。 


《上 - 步 @) [下 =- 步 四 让 取消 | 一 


图 3-8 输入 正 向 查找 区 域 的 名 称 


(5) 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 3-9 所 示 的 对 话 框 。 对 新 创建 的 DNS 区 域 的 动态 
更 新 进行 设置 ,有 3 种 方法 : 
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。 只 允许 此 域 中 的 其 他 DNS 进行 动态 更 新 。 83 
。 人 允许 其 他 非 受信 区 域 进行 动态 更 新 。 

。 不 允许 动态 更 新 ,只 能 由 DNS 管理 员 来 进行 手动 更 新 。 

本 例 选择 "只 允许 安全 的 动态 更 新 (适合 Active Directory 使 用 )” 单 选 按钮 。 


EE x| 
动态 更 新 
您 可 以 指定 这 个 DNS 区 域 接受 安全 、 不 安全 或 非 动态 的 更 新 。 


动态 更 新 能 使 DNS 客户 缮 计算 机 在 每 次 发 生 更 改 时 ， 用 DNS 服务 器 注册 并 动态 更 
新 资源 记录 。 


请 选择 悠 想 允 府 的 动态 更 新 类 型 


7 合用 7) 


人 Directory 


个 区 许 非 安全 和 安全 动态 更 新 以 ) 
任何 客户 议 按 受 ; 半天 记录 的 只 点 更 新 。 
A 因为 可 以 接受 来 自 非 信任 源 的 更 新 ， 此 选项 是 一 个 较 大 的 安全 弱点 。 


个 不 允许 动态 更 新 
此 区 域 不 纪委 灶 玉 记录 的 a 坟 更 新 。 悠 必 须 手 动 更 新 这 些 记 录 。 


< 上- 步 四 [本 四 下。 了 于 助 
图 3-9 DNS 区 域 更 新 类 型 的 设置 


(6) 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 3-10 所 示 的 对 话 框 。 单 击 “ 完 成 ”按钮 ,完成 正 向 
区 域 设 置 。 


正在 完成 新 建 区 域 向 导 


悠 已 成 功 完 成 了 新 建 区 域 向导 。 修 指定 了 如 下 设置 


名 称 myserver. net 
类 型 Active Directory 集成 主要 区 域 
查找 类 型 正 向 


洲 恋 现 在 梅 记录 添加 到 区 域 ， 或 者 确保 记录 


a 
和 新 。 绑 后， 您 可 以 用 nslookup 验证 名 称 


要 关闭 此 向 导 并 包 陡 新 区 域 ， 请 单 击 “ 完 成 ”。 


取消 才 助 


图 3-10 ”完成 正 向 区 域 设 置 


2. 建立 DNS 服务 器 的 反 向 查找 区 域 

其 操作 步骤 如 下 : 

(1) 如 图 3-11 所 示 , 右 击 “ 反 向 查找 区 域 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 
令 , 弹 出 如 图 3-12 所 示 的 对 话 框 。 


网 
落 
叶 
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划 
ee 欢迎 使 用 新 建 区 域 向 导 
| 总 文件 于 ) 操作 查看 0) 窗口 好。 帮助 由 
| 人 二 国 | 加 局 | 包 | 有 是 鲍 此 向导 帮助 你 为 DIS 服务 器 创 洗 一 个 新 区 域 。 
SS 
日 - 目 200ssgavzg 区 域 格 TS 名 称 转 执 成 相关 数据 ， 例 如 IF 地址 或 网 
日 国 正 向 查 拒 区域 这 服务 - 


国 团 wyrsrver net 


要 继续 ， 请 单 击 “ 下 一 步 ”。 


查看 QD 说 
从 这 里 锯 娃 窗口 oD) 


刷新 下 ) 
导出 列表 已 ) 


帮助 0 


ss 取消 帮助 


创建 新 区 域 。 


图 3-11 DNS 反 向 区 域 的 建立 图 3-12 DNS 建立 反 向 区 域 


(2) 单 击 “ 一步" 按钮， 弹出 如 图 3-13 所 示 的 对 话 框 ,在 该 对 话 框 中 选择 要 设置 的 
反 向 区 域 的 类 型 。 选 择 “ 主 要 区 域 " 单 选 按钮 ,建立 主 DNS 的 反 向 区 域 。 


国 
区 城 类 型 人 ~ 
TIS 服务 器 支持 不 同类 型 的 区 域 和 存 请 。 印 
过 近 个 要 创建 的 区 域 的 类 型 


S i 

个 辅助 区 域 ©) 
全 要 入 吕 上 的 区 域 的 副本 ， 此 二 项 得 盈 主 服务 器 于 
ee 


厅 在 Active Directory 中 存储 区 域 (只 有 DNS 服务 器 是 城 控制 器 时 才 可 用 ) (&) 


《上 - 步 @ [T= | 取消 | 丰 有 w | 


图 3-13 选择 创建 的 反 向 区 域 类 型 


(3) 单 击 “ 下 一 步 ” 按 钮 . 则 弹出 如 图 3-14 所 示 的 对 话 框 。 “至 Active Directory 
域 myserver. net 中 的 所 有 域 控制 器 ” 单 选 按钮 。 

(4) 单 击 “ 下 一 步 "按钮 .弹出 如 图 3-15 所 示 的 对 话 框 。 选 中 “网 络 ID” 单 选 按钮 并 在 
文本 框 中 输入 此 DNS 服务 器 解析 的 网 段 192. 168. 1。 在 “ 反 向 查找 区 域名 称 ” 文 本 框 中 
会 自动 加 入 其 反 查 的 区 域 文件 的 名 字 。 

(5) 单 击 “ 下 一 步 ” 按 钮 .弹出 如 图 3-16 所 示 的 对 话 框 。 在 该 对 话 框 中 设置 DNS 反 
向 解析 区 域 数 据 的 更 新 类 型 ,选择 “只 人 允许 安全 的 动态 更 新 (适合 Active Directory 使 用 )” 
单 选 按钮 。 

(6) 单 击 * 下 一 步 ? 按 钮 .弹出 如 图 3-17 所 示 的 对 话 框 , 单 击 “ 完 成 ”按钮 ,结束 反 向 区 
域 的 建立 。 
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Ed 条 


Active Directory 区 域 复 制作 用 域 
您 可 以 选择 在 网 络 上 如 何 复制 DRS 数 需 。 


四 85 


选择 如何 复 制 区 域 数据 ; 
个 至 hetive Directory 林 myserver net 中 的 所 有 DES 服务 器 忆 ) 


个 至 ketive Directory 媚 wyserver net 中 的 所 有 DKS 服务 器 四 ) 


人 医 Netive Directory 成 nyserver_net 中 的 所 有 大 控 制 器 
域 机 寺中 的 央 近 人 时 上 运行 的 Windows 2000 DNS 服务 器 加 


c ll 于 应 用 程 订 目录 分 区 的 苍 | 


[== 


定 的 所 码 城 近 


| em | 


图 3-14 选择 DNS 数据 复制 的 范围 


向 导 


反 向 查找 区 域名 称 
反 向 查找 区 域 将 IP 地 址 转换 为 DNS 名 称 。 


要 标识 反 向 查找 区 域 ， 请 键入 网 络 ID 或 区 域名 称 。 
© Fs DE); 
he 6s 1 
网 至 了 J 是 犀 于 该 区 域 IP 地 址 的 部 分 。 用 正常 (不是 反 向 的 ) 顺 序 输 入 


Ba ee i a 
0.10.inradir， arpa 区 域 
个 反 向 查找 区 域名 称 外; 


I 192 in-adir wpe 


有 关隘 反 向 查找 区 域 的 详细 信息 ， 请 单 击 “ 帮 助 ”。 


mm | | 


图 3-15 设置 反 向 查找 区 域 的 IP 地 址 


向导 区 


新 
您 可 以 指定 这 个 DNS 区 域 接受 安全 、 不 安全 或 非 动态 的 更 新 。 


有 和 
请 选择 修 想 允许 的 动态 更 新 类 型 : 
6 KE 证 安葬 寺 尖 更 新 轿 襄 -ACUTESESE7 借用 JE 
Aive Directory 课 夺 抽 区 开 生 有 让 园 筑 
多 许 丰 安 全 和 安全 动 记 更 新 从) 
任何 客户 端 接受 资源 记录 的 动态 更 新 。 
八国 六 可 以 入 委 末 和 村 信任 汉 的 更 新 此 光 项 是 一 个 扩大 的 全 全 强 上 。 


个 不 区 许 动态 更 新 四 ) 
此 区 域 不 接受 资源 记录 的 动态 更 新 。 您 必须 手动 更 新 这 些 记录 。 


ms | ew | 
图 3-16 设置 DNS 动态 更 新 类 型 
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正在 完成 新 建 区 域 向 导 


您 已 成 功 完成 了 新 建 区 域 向 导 。 您 指定 了 如 下 设置 


名 称 1. 168. 192. in-addr. arpa 
类 型 Active Directory 集成 主要 区 域 
查找 类 型 反 向 


梅 记 录 汤加 到 区 域 ， 或 者 确保 记录 
。 然 后， 您 可 以 用 nslookup 验证 名 称 


图 3-17 反 向 区 域 设置 结束 


3. 资源 记录 

新 建 DNS 服务 器 主 区 域 后 ,DNS 域 管理 器 自动 在 区 域 中 建立 起 始 机 构 授 权 、 名 称 服 
务 器 以 及 一 些 与 域 有 关 的 主机 地 址 信息 等 ,这 些 数据 称 为 资源 记录 。 一 般 来 说 ,资源 记录 
包含 与 特定 主机 相关 的 某 些 信息 ,例如 ,主机 名 称 `, 所 有 者 IP 地 址 或 提供 服务 的 类 型 。 

常用 的 资源 记录 类 型 有 : 

。 起 始 授 权 机 构 SOA (Start Of Authority) 

。 名 称 服务 器 NS(Name Server) 

。 主机 记录 A(Address) 
别名 记录 CNAME(Canonical Name) 
邮件 交换 主机 MX(Mail Exchange) 

。 指针 PTR(Pointer) 

4. 添加 主机 记录 

为 了 使 DNS 服务 器 能 够 顺利 解析 客户 的 解析 请 求 , 就 必须 将 主机 的 相关 数据 添加 到 
DNS 服务 器 内 。 下 面 以 任务 实例 来 讲述 如 何在 正 向 解析 区 域内 建立 正 向 记录 。 

例如 ,在 正 向 区 域 中 添加 主机 记录 ,解析 www. myserver. net 为 192. 168. 1. 5。 

其 操作 步骤 为 : 

(1) 在 DNS 管理 器 中 , 右 击 要 添加 主机 记录 的 正 向 查找 区 域 中 的 myserver. net, 弹 
出 如 图 3-18 所 示 的 快捷 菜单 。 

(2) 选择 “新 建 主 机 ”命令 ,弹出 如 图 3-19 所 示 的 “新 建 主 机 ”对 话 框 。 首 先 在 “名 称 
(如 果 为 空 则 使 用 其 父 域名 称 )" 文 本 框 中 输入 主机 名 称 , 则 “完全 合格 的 域名 (FQDN)” 文 
本 框 中 会 显示 其 主机 在 域 中 的 全 名 。 然 后 在 “IP 地 址 ”文本 框 中 输入 此 主机 域名 对 应 的 
IP 地 址 。 

(3) 单 击 “ 添 加 主机 ”按钮 ,这 样 在 DNS 服务 器 的 正 向 查找 区 域 myserver. net 中 就 会 
增加 一 条 正 向 解析 记录 ,如 图 3-20 所 示 。 
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| 
名 称 各 果 为 空 则 合用 其 父 域名 称 ) m 
= 
ee 完全 合格 的 域名 Panm : 
是 em Fr MySserver. net, 
由 Sa 更 新 服务 要 sa 
四国 事件 查看 器 J 地 址 下); 


”创建 相关 的 指针 FTR) 记 录 C) 
TT i 
TRS 四 


查看 凶 医 m 主 机 0| 取消 
从 这 里 娃 窗口 所) 
3-18 ”新建 主机 记录 图 3-19 添加 www 主机 记录 


© 00ssraven 


a info 起 始 授权 机 构 G0A) [85], 2003server myserver. net ，hostmaster 
日 图 反 向 查找 区 域 名 称 服务 器 05) 2003s erver. myserver, net 
万 192 188. 1 * Subnet 主机 以 ) 192 168.1.10 
由 加 事件 查看 器 主机 以 ) 169.254.210.25 
EM 


3-20 在 DNS 服务 器 中 添加 www. myserver. net 主机 记录 


5. 添加 指针 记录 


在 正 反 向 查找 区 域 中 添加 指针 记录 ,解析 192. 168. 1. 5 对 应 为 www. myserver. net。 


其 操作 步骤 为 : 


(1) 在 DNS 管理 器 中 , 右 击 反 向 查找 区 域 中 的 192. 168. 1. x. Subnet 区 域 ,弹出 如 


图 3-21 所 示 的 快捷 菜单 。 
(2) 选择 “新 建 指 针 ” 命 令 , 弹 出 如 图 3-22 所 示 的 “新 建 资源 记录 ”对 话 框 。 


由 于 本 例 是 在 域 中 进行 资源 记录 的 创建 ,所 以 IP 地 址 的 网 段 由 反 向 域 的 网 段 信 
息 所 决定 。 在 “主机 名 ”文本 框 中 输入 此 IP 地 址 对 应 的 域名 全 称 www. myserver. net。 
如 果 其 对 应 的 域名 已 存在 或 为 了 避免 错误 和 冲突 可 单 击 “ 浏 览 ” 按 钮 ,弹出 如 图 3-23 所 
示 的 “浏览 ”对 话 框 ,在 已 设 定 的 正 向 查找 区 域 的 记录 中 选择 其 对 应 的 主机 名 称 。 然 后 
单 击 “ 确 定 ” 按 钮 , 则 DNS 服务 器 的 反 向 查找 区 域 中 会 产生 一 条 资源 记录 ,如 图 3-24 


所 示 。 
6. 添加 别名 主机 记录 


在 正 向 查找 区 域 中 添加 一 个 与 2003server. myserver. net 指向 同一 个 IP 地 址 的 别名 


dns. myserver. net。 
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TFTETIC 8 本 区 
名 文件 也 操作 (A) 查看 中 窗口 和 帮助 Qi |=151x 
和 + 和 | 国 X 窜 加 导 | 包 | 眉目 合 
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TE 
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查看 » 
从 这 里 创建 窗口 @D) 
一 有 0) 
出 新 EE) 
导出 列表 0 
尿 性 四 ) 
必 助 人 9 
一 个 新 指针 资源 记录 
图 3-21 新 建 反 向 查找 区 域 的 指针 记录 
CECEEEEEEEE x 
指针 CTR) | 
主机 TP 号 马 ): Ex 
FE 5 


完全 合格 的 域名 FQDN) 到 ): 


-1 1866 192 iaddr arpe 


主机 名 QD; 


图 与 父 文件 赤 主机 192.168.1.10 
i EE 
EO: 
记录 类 型 0): [主机 hi 记录 可 
mm 二 | [二 二 — mw | 
3-22 建立 反 向 查找 区 域 的 资源 记录 图 3-23 选择 域名 
其 操作 步骤 为 : 


(1) 在 图 3-25 所 示 的 “ 正 向 查找 区 域 * 上 右 击 . 弹 出 快捷 菜单 .选择 “新 建 别名 ”命令 ， 
弹出 如 图 3-26 所 示 的 对 话 框 。 

首先 在 “别名 (如 果 为 空 则 使 用 其 父 域 )" 文 本 框 中 输入 在 本 域 中 的 主机 别名 ,在 “完全 
合格 的 域名 (FQDN)” 文 本 框 中 会 显示 其 最 终 的 域名 称 。 然 后 在 “目标 主机 的 完全 合格 的 
域名 (FQDN)" 文 本 框 中 输入 此 别名 指向 的 主机 域名 。 

(2) 单 击 “ 确 定 ” 按 钮 完成 别名 主机 记录 的 添加 ,如 图 3-27 所 示 。 


这 文件 到 操作 人 ) 查看 四 | 本 
和 小 | 四 |X 甸 回民 | 岛 | 有 日 命 
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日 - 目 2003sgpygR 
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昌国 硬件 吾 看 器 一 一 


3-24 反 向 区 域 的 资源 记录 


dnsmgmt - [DHS\2003SERYER\ 正 向 查找 区 域 M\ayserver net] iolxl 
半 文件 揪 作 查看 V) 旦 口 思 帮助 0 | =l@lz 
各 钙 | 生 | 四 | XX 富国 加 | 留 | 目 自 全 


| wyserver net ”12 个 记录 


日 加 正 向 查找 区 域 国 wsacs 


本 二 
ee 


E) 
192 168 
四 便 事件 查看 器 。 新 建 主机 WN) 起 ) 


0 ) 超凡 授权 机 构 SOA) [57], 2003server nyse 
2 ) 名 称 服务 器 NS) 2003server myserver net 

me ) 主机 以 ) 192. 168. 1. 10 

EE 主机 以 ) 192. 168.1.10 

所 有 任务 区 ) 主机 以 ) 192. 168.1.5 

坦 看 四 别名 CNANE) 2003server myserver. net 

从 这 里 创建 窗口 电 ) 

出 附加 ) 

刷新 下 ) 

导出 列表 LL) 

属性 @B) 

才 助 QD) 

| 创建 一 个 新 别名 资源 记录 


图 3-25 新 建 别名 主机 
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图 3-26 ”新建 别名 的 资源 记录 
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图 3-27 在 DNS 服务 器 中 添加 别名 主机 记录 
314 DNS 测试 


当 一 台 服 务 器 的 DNS 设置 完毕 后 ,要 检测 服务 器 是 否 正常 工作 。 常 用 的 方法 是 利用 
专用 工具 软件 程序 Nslookup。Nslookup 是 Windows 系统 自 带 的 程序 , 它 是 一 个 Win32 
应 用 程序 。 启 动 方法 为 : 单 击 “ 开 始 ” 菜 单 ,选择 “运行 "命令 ,在 弹出 的 对 话 框 中 输入 命令 
nslookup; 单 击 “ 确 定 ” 按 钮 就 启动 了 DNS 的 检测 程序 。 在 提示 符 “ 二 "后面 输入 要 测试 的 
域名 或 IP 地 址 。 


(1) 测试 域名 www. myserver. net, 若 DNS 的 正 向 查找 区 域 中 有 此 域名 的 对 应 记录 ， 
则 会 显示 如 下 信息 : 
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> www. myserver. net 91 
Server: 2003server. myserver. net 
Address: 192. 168. 1. 10 


Name: www. myserver. net 
Address: 192. 168. 1. 10 


通过 此 返回 信息 可 以 知道 ,本 域名 所 使 用 的 域名 服务 器 为 2003server. myserver. net, 域 


名 服务 器 的 卫 地址 为 192. 168. 1. 10 ,域名 www. myserver. net 对 应 的 IP 地 址 为 192. 168. 1. 10。 


(2) 测试 IP 地 址 192. 168. 1.6,. 若 DNS 的 反 向 查找 区 域 中 有 此 域名 的 对 应 记录 , 则 


会 显示 如 下 信息 : 


> 192. 168.1.6 
Server: 2003server. myserver. net 
Address: 192. 168. 1. 10 


Name: ftp. myserver. net 
Address: 192. 168. 1.6 


通过 测试 结果 可 以 看 出 , 反 向 查找 区 域 中 有 一 条 记录 , 它 对 应 的 域名 为 ftp. myserver. 


net, 对 应 的 IP 地址 为 192. 168. 1. 6。 


(3) 测试 IP 地 址 192. 168. 1.5, 如 果 DNS 的 反 向 查找 区 域 中 没有 与 此 IP 地 址 对 应 


的 域名 记录 时 , 则 会 显示 如 下 信息 : 


> 192. 168. 1.5 
Server: 2003server. myserver. net 
Address: 192. 168. 1. 10 


### 2003server. myserver. net can’t find 192. 168. 1. 5: Nonrexistent domain 


此 信息 表明 当前 DNS 域名 服务 器 无 法 解析 192. 168. 1. 5 这 个 IP 地 址 对 应 的 域名 。 


综 上 所 述 ,就 可 以 根据 Nslookup 测试 得 出 的 结论 判断 是 否 正确 配置 DNS 域名 服务 器 。 


3.2 DHCP 服务 器 的 架设 
321 DHCP 的 运行 方式 


DHCP(Dynamic Host Configuration Protocol ,动态 主机 配置 协议 ) 是 简化 主机 IP 地 


址 分 配 管理 协议 ,是 TCP/IP 协议 族 中 的 标准 协议 之 一 。DHCP 可 以 自动 将 也 地 址 传 到 请 
求 地 址 的 客户 计算 机 ,从 而 减少 人 工分 配 和 跟踪 分 配 客户 机 的 卫 了 地 址 所 需要 的 工作 量 。 


322 DHCP 的 工作 原理 
要 使 用 DHCP 方式 动态 分 配 IP 地 址 ,要 求 网络 中 至 少 有 一 台 安装 了 DHCP 服务 的 服 


务 器 ,而 且 要 使 用 DHCP 服务 的 客户 端 必须 具有 自动 向 DHCP 服务 器 索取 人 P 地 址 的 功能 。 


当 DHCP 客户 机 第 一 次 启动 时 ,会 自动 与 DHCP 服务 器 通信 ,并 由 DHCP 服务 器 分 


4 
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配给 DHCP 客户 机 一 个 IP 地 址 ,直到 租约 到 期 ,到 期 后 由 DHCP 服务 器 收回 这 个 IP 地 
址 ,并 将 其 提供 给 其 他 DHCP 客户 机 使 用 。 


323 ”DHCP 服务 器 的 安装 与 设置 


安装 DHCP 服务 之 前 ,应 做 如 下 准备 : 

。 DHCP 服务 器 本 身 应 有 一 个 固定 的 IP 地 址 、 子 网 掩 码 、 默 认 网 关 等 。 

。 规划 好 DHCP 客户 端 可 以 使 用 的 IP 地 址 范围 。 

1. DHCP 的 安装 

Windows Server 2003 在 默认 安装 时 DHCP 是 不 进行 安装 的 ,所 以 要 使 用 DHCP 服 
务 ,就 要 先 安装 DHCP 服务 。 安 装 步 又 如 下 : 

(1) 在 “控制 面板 "窗口 中 双击 “添加 或 删除 程序 "图标, 在 弹出 的 “添加 或 删除 程序 ” 
窗口 中 ,选择 “添加 /删除 Windows 组 件 ” 命 令 。 

(2) 在 弹出 的 如 图 3-28 所 示 的 “Windows 组 件 向 导 ” 对 话 框 中 ,选择 “网 络 服务 " 复 选 
框 ,并 单 击 “ 详 细 信 息 ” 按 钮 ,弹出 如 图 3-29 所 示 的 “网 络 服务 "对话 框 。 
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图 3-29 “网 络 服务 ”对话 框 
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(3) 选择 “动态 主机 配置 协议 (DHCP)"” 复 选 框 , 单 击 “ 确 定 ” 按 钮 ,返回 “Windows 组 93 
件 向 导 ? 对 话 框 , 并 单 击 * 下 一 步 ? 按 钮 。 系 统 复制 文件 后 ,进行 服务 组 件 的 添加 。 
(4) 安装 完毕 ,选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 DHCP 命令 ,对 用 户 和 DHCP 
服务 器 进行 设置 与 管理 。 
2. 授权 操作 
在 Windows Server 2003 中 ,DHCP 服务 器 安装 后 不 能 直接 使 用 ,还 需要 进行 授权 操 
作 ,未 经 授权 的 服务 器 无 法 提供 DHCP 服务 。 另 外 被 授权 的 DHCP 服务 器 必须 是 AD 中 
的 组 成 员 ,否则 无 法 完成 授权 。 对 DHCP 授权 操作 步骤 如 下 : 
(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 DHCP 命令 ,打开 如 图 3-30 所 示 的 DHCP 
窗口 。 
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| | 司 。 控 F5 

ee ,ee 

可 看 项 时 DHCP 服务 的 更 详细 的 信息 ， 请 参阅 联机 “ 

册 际 四 ) 

刷新 EE) 


[ 帮 目 录 上 授权 这 侣 服务 器 。 ”属性 8) 
图 3-30 ”授权 启动 HDCP 服务 


(2) 在 DHCP 窗口 中 , 右 击 服 务 器 名 称 2003server. myserver. net[ 192. 168. 1. 10]， 
在 弹出 的 快捷 菜单 中 选择 “授权 ”命令 。 这 样 DHCP 服务 才 真正 开始 工作 。 

3. 新 建 作用 域 

在 myserver. net 域 中 新 建 一 个 动态 地 址 分 配 区 域 . 起 始 IP 地 址 为 192. 168. 1. 100， 
终止 IP 地 址 为 192. 168. 1. 200 , 子 网 掩 码 为 255. 255. 255. 0。 

操作 步骤 为 : 

(1) 右 击 DHCP 服务 器 的 名 字 ,在 弹出 的 快捷 菜单 中 选择 “新 建 作 用 域 " 命 令 。 

(2) 在 弹出 的 对 话 框 的 “名 称 ” 文 本 框 中 输入 作用 域 的 域名 称 myserver. net, 如 图 3-31 
所 示 。 

(3) 单 击 * 下 一 步 ? 按 钮 ,在 弹出 的 对 话 框 中 输入 当前 DHCP 可 以 动态 分 配 的 IP 地 址 
范围 子 网 掩 码 长 度 及 子 网 掩 码 值 . 如 图 3-32 所 示 。 


全 “.... 计算 机 网 络 管理 与 安全 


94 新 建 作用 域 向 导 区 


作用 域名 
您 必须 提供 一 个 用 于 识别 的 作用 域名 称 。 您 还 可 以 提供 一 个 描述 呵 选 )。 


痢 届 作用 域 且 入 名 称 和 搞 正 - 此 信息 才 助 您 快速 标识 此 作用 域 在 网 络 上 的 作 


名 称 @) : yserver. net 
描述 四 ): 


《< 上 一 步 @) 取消 
图 3-31 输入 作用 域名 称 
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IP 地 址 范围 CS 
作 通 过 确定 一 钥 连 续 的 IF 地 址 来 定义 作用 域 地 址 范围 \ 


输入 此 作用 域 分 配 的 地 址 范围 。 
起 始 IF 地 址 到 )， 192. 168，1 .100 
结束 IF 地 址 到 ); 192 168 1 200 


3 


长 度 Q: 已 ” 习 
于 ES QD : [0 


《< 上 一 步 四 ) 取消 


图 3-32 设置 DHCP 分 配 的 动态 IP 地 址 范围 


(4) 单 击 * 下 一 步 ?按钮 ,弹出 如 图 3-33 所 示 的 对 话 框 。 在 此 对 话 框 中 ,可 以 设置 
DHCP 动态 分 配 的 IP 范围 中 某 些 地 址 可 以 排除 在 外 ,不 会 分 配给 其 他 主机 ,这 样 可 以 让 
一 些 IP 地 址 成 为 私有 ,为 其 他 的 服务 器 或 主机 预 留 可 分 配 使 用 的 地 址 。 如 果 分 配 的 动态 
IP 地 址 范围 中 没有 希望 预 留 的 ,此 项 可 以 不 设置 。 

(5) 单 击 “ 下 一 步 " 按 钮 .弹出 如 图 3-34 所 示 的 对 话 框 。 在 这 个 对 话 框 中 ,可 以 设置 
服务 器 分 配 的 作用 域 租约 期 限 。 默 认 的 最 大 租用 期 限 为 8 天. 用户 可 以 根据 当前 域 中 主 
机 的 特点 和 使 用 的 时 间 长 短 来 进行 设置 。 一 般 情况 下 .如 果 要 分 配 使 用 IP 地 址 的 多 为 移 
动 设 备 , 可 以 设置 租 期 相对 短 些 ,这 样 IP 地 址 的 使 用 频 度 会 增加 ,有 利于 更 多 的 主机 进行 
对 网 络 连接 的 需求 。 如 果 要 分 配 使 用 了 P 地 址 的 多 为 固定 设备 ,用户 寻 求 的 是 长 期 可 用 ， 
故 可 设置 其 租 期 相对 长 些 。 
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添加 排除 
排除 是 指 服 务 器 不 分 配 的 邮 址 或 地 址 范围 


A 加 果 您 想 排除 一 个 单独 的 地 址 ， 则 只 在 “起 
起 始 I 地 址 仿 ); 结束 地 址 企 ): 


| :-. .Mr 
排除 的 地 址 范围 CE); 
| BP?) 


《上 一 步 四 取消 


图 3-33 设置 排除 的 地 址 范围 
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租约 期 限 
租约 期 限 指定 了 一 个 客户 后 从 此 作用 域 使 用 IF 地 址 的 时 间 长 短 。 


i 


[tt “+ 位 置 固定 的 网 络 来 说 ， 设 置 较 长 的 租 


设置 服务 器 分 配 的 作用 域 租约 戎 PR 
限制 为: 
天 @) 小 时 0: 分 钟 吧 ): 


一 | 
图 3-34 设置 客户 端 申请 地 址 的 使 用 租 期 


(6) 单 击 * 下 一 步 ? 按 钮 ,弹出 如 图 3-35 所 示 的 对 话 框 。 在 该 对 话 框 中 ,可 以 指定 分 
配 的 主机 使 用 的 网 关 , 在 “IP 地 址 "文本 框 中 输入 一 个 网 关 地 址 , 单 击 “ 添 加 "按钮 ,将 网 关 
地 址 加 入 到 设置 中 去 。 若 分 配 的 IP 地 址 范围 所 在 的 域 没 有 外 网 连接 ,也 可 以 直接 单 击 
“下 二 步 " 按 和 钥 。 

(7) 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 3-36 所 示 的 对 话 框 。 在 该 对 话 框 中 ,可 以 配置 
DHCP 其 他 选项 。 如 果 立 即 对 DHCP 其 他 选项 进行 设置 ,选择 “是 ,我 想 现 在 配置 这 些 选 
项 " 单 选 按 钮 ,并 单 击 “ 下 一 步 " 按 钮 对 DHCP 其 他 选项 ,如 WINS、DNS 等 进行 设置 。 如 
果 不 马 上 进行 配置 ,选择 “ 否 , 我 想 稍 后 配置 这 些 选项 ” 单 选 按钮 ,可 以 跳 过 DHCP 其 他 选 
项 的 设置 。 

(8) 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 3-37 所 示 的 对 话 框 , 单 击 “ 完 成 ”按钮 ,完成 整个 
DHCP 区 域 的 基本 设置 。 
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路 由 器 村 认同 关 ) ESS] 
您 可 为 指定 此 作用 域 要 分 配 的 路 由 器 或 默认 惨 关 ， \ 如 


要 添加 客户 端 使 用 的 路 由 器 的 IP 地 址 ， 请 在 下 面 输 入 地 址 。 
IP 地 址 中) 


< 上 -四 到 


图 3-35 指定 路 由 器 或 默认 网 关 


新 建 作用 域 向导 


配置 DHCP 选项 
悠 必须 配置 最 常用 的 DHCP 选项 之 后 ， 客 户 访 才 可 以 使 用 作用 域 . 


裔 9 


| i 这 些 设 置 格 也 盖 此 服务 器 的 “服务 器 选项 "” 文 


您 想 现在 为 此 作用 域 配置 NCP 远 项 吗 ? 
个 是 ,我 想 现在 甩 置 这 些 选项 六) 
6 症 ” 委 天 精 后 本 加 这 站 沈 项 友 


《上 一 步 四 取消 


图 3-36 DHCP 其 他 选项 的 设置 


正在 完成 新 建 作用 域 向 导 


您 已 成 功 地 完成 了 新 建 作 用 域 向 导 . 
客户 端 可 以 接受 地 址 莉 ， 您 需要 做 以 下 事情 


1， 添 加 任何 作用 域 特定 的 选项 ( 可 选 ) 。 
2， 激 活 作用 域 . 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


mm | 


图 3-37 ”完成 DHCP 的 设置 
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至 此 ,一 个 基本 的 DHCP 服务 器 配置 完成 。DHCP 服务 器 能 够 为 用 户 所 在 的 物理 连接 197 
网 络 提供 IP 地 址 的 自动 分 配 ,使 每 一 台 计 算 机 都 能 和 其 他 计算 机 进行 通信 ,并 且 互 不 影响 。 

4. DHCP 属性 的 设置 

DHCP 新 建 作用 域 设 置 完 毕 , 可 以 对 其 属性 进行 设置 。 操 作 步 又 如 下 : 

(1) 在 DHCP 服务 器 2003server. myserver. net[192. 168. 1. 0] 的 “作用 域 ?* 上 和 右 击 ， 
弹出 如 图 3-38 所 示 的 快捷 菜单 ,选择 “属性 ”命令 ,进行 属性 设置 。 


作用 域 [192. 168. 1. 0] myserver. net 


日 B2003server nyserver net [1 


[= | 


图 3-38 ”作用 域 的 属性 设置 


(2) 在 弹出 的 “作用 域 [192. 168. 1. 0]myserver. net 属性 ”对 话 杠 中 有 3 个 选项 卡 ,可 
以 对 已 经 设置 的 DHCP 属性 进行 更 改 。 

@ 在 “常规 ”选项 卡 中 可 以 对 作用 域 的 域名 、 地 址 范围 .租约 期 限 进行 相应 的 更 改 , 如 
图 3-39 所 示 。 

@ 在 DNS 选项 卡 中 可 以 设置 DHCP 与 DNS 的 对 应 ,还 可 以 设置 DNS 的 记录 内 容 ， 
如 图 3-40 所 示 。 


作用 域 [192 168 1 0] nyserver ee 二 得 xl 


作用 战 [192. 168.1.0] nyserversee 尾 村 EE 
WA |ms | | 全 规 ms | 高 级 | 
| 作用 眶 名 HPF 客户 请 主机 以) 和 指针 TH 记录 
下 可 天 下 而 的 设置 启用 005 就 才 更 新 台 7 
作用 域名 EC); FT 


ee 
起 妨 IF 地 址 GG) | 132 .168 1 .100 


结束 IE 地 址 加 ): | 132 
子 网 哲 码 os 


个 总 是 动态 更 新 DNS A 和 PTE 记录 外 ) 
厅 在 租约 被 得 除 时 丢弃 A 和 PTR 记录 ID) 


厂 为 : 所 indows 下 
的 


取 滑 | _ 记 用 [WE |] 取消 现 用 区 7 
图 3-39 “常规 ”选项 卡 图 3-40 ”DNS 选项 卡 
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98 @ 在 “高 级 "选项 卡 中 可 以 为 其 他 具有 动态 主机 地 址 分 配 功 能 的 客户 端 选 择 分 配 的 

策略 ,还 可 以 对 DHCP 客户 端的 租约 期 限 进 行 设置 ,如 图 3-41 所 示 。 

(3) 设置 完成 后 , 单 击 “ 确 定 ” 按 钮 ,完成 DHCP 属性 的 设置 。 

DHCP 服务 器 配置 完毕 ,在 网 络 中 的 客户 端 主 机 要 想 自动 获取 IP 地 址 的 DHCP 服 
务 , 还 需要 进行 客户 端 设置 。 

5. DHCP 客户 端 配 置 

以 Windows XP 为 客户 端 对 象 进行 配置 。 操 作 步 又 如 下 : 

(1) 在 客户 端 主机 桌面 上 , 右 击 “网 上 邻居 "图标, 在 弹出 的 快捷 菜单 中 选择 “属性 ” 命 
令 , 在 弹出 的 “网 络 连 接 ” 窗 口中 , 右 击 “本 地 连接 ”图 标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ” 
命令 。 

(2) 弹出 “本 地 连接 属性 ?对 话 框 ,双击 “Internet 协议 (TCP/IP)”, 弹 出 “Internet 协 
议 CTCP/IP) 属 性 ”对 话 框 。 选 中 “自动 获得 IP 地 址 ”和 “自动 获得 DNS 服务 器 地 址 ” 单 选 
按钮 ,如 图 3-42 所 示 。 


作用 域 [192. 168. 1. 0] my 到 zx 


第 规 。 [备用 配置 


动态 为 以 下 客户 端 分 配 IP 地 址 ; 


«re 9 
个 似 50oTF GD 
EP 加 自动 效 查 IT 地 址 中) 
B00TF 变 户 销 的 租约 期 限 一 一 一 一 一 一 一 一 一 一 一 一 一 人 便 用 下 面 的 IP 地 址 GE) 
全 限 币 为 | 


天 叮 el ed | 


无 限制 昌 自 纯 交 得 DNS 服务 矣 地 二 看 ] 


人 便 用 下 面 的 DNS 骤 务 器 地 址 人 E) 


高 颌 OD 
CI ww | wu CD wm 
图 3-41 “高 级 ”选项 卡 图 3-42 DHCP 客户 端 设 置 


(3) 单 击 “ 确 定 ” 按 钮 .这样 客 户 端 的 主机 就 能 够 利用 DHCP 服务 器 自动 提供 的 IP 地 
址 进行 网 络 访问 。 


3.3 IIS 的 使 用 
331 lS 的 介绍 


IIS(Internet Information Services) 也 称 为 Internet 信息 服务 ,包括 Web、FTP 和 
SMTP 服务 器 3 个 基本 功能 ,可 以 为 局 域 网 实现 内 部 的 Internet 信息 服务 ,也 可 使 内 部 网 
连接 到 Internet 上 :实现 远程 信息 服务 。IIS 主要 的 功能 是 提供 用 户 创建 Web 站 点 的 服 
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务 。Windows Server 2003 使 用 了 IIS 6. 0, 较 以 前 版 本 在 功能 上 有 了 很 大 的 提高 ,其 特点 为 : 

(1) 可 靠 性 。IIS 6. 0 的 请 求 处 理 结构 提供 一 个 应 用 程序 来 隔离 环境 ,使 单个 Web 应 
用 程序 能 够 在 其 各 自 的 、 自 我 包含 的 工作 进程 中 运行 ,因此 比 早期 版 本 更 可 靠 。 

(2) 安全 性 。IIS 6.0 包括 各 种 可 确保 网 站 和 FTP 站 点 内 容 以 及 通过 站 点 传输 的 数 
据 的 完整 性 的 安全 性 功能 和 技术 。IIS 6. 0 安全 功能 包括 : 身份 验证 .访问 控制 加密、 证 
书 和 审核 。 

(3) 性 能 强 。 新 一 代 应 用 程序 对 Web 服务 器 的 性 能 和 可 伸缩 性 提出 了 更 高 的 要 求 。 
如 果 增 加 HTTP 请 求 的 处 理 速 度 并 允许 在 一 个 服务 器 上 运行 更 多 的 应 用 程序 和 站 点 , 则 
可 以 直接 减少 宿主 站 点 所 需 的 服务 器 。 

(4) 运用 了 多 种 Web 技术 。IIS 6. 0 使 用 的 ASP. NET 允许 用 户 充分 利用 公共 语言 
运行 库 的 功能 ,例如 ,类 型 安全 、 继 承 、 语 言 互 操 作 性 和 版 本 控制 。IIS 6. 0 还 为 最 新 的 
Web 标准 提供 支持 ,例如 ,XML、 简 单 对 象 访问 协议 (SOAP) 和 Internet 协议 版 本 6. 0 
(IPv6. 0)。 

(5) 强大 的 管理 能 力 。 为 了 满足 各 类 客户 的 需要 ,IIS 提供 各 种 管理 功能 和 管理 工 
具 。 管 理 员 可 以 用 IIS 管理 器 ,管理 脚本 或 通过 直接 编辑 IIS 纯 文本 配置 文件 来 配置 运 
行 IIS 6.0 的 服务 器 。 管 理 员 还 可 以 远程 管理 IIS 服务 器 和 站 点 。 

Windows Server 2003 在 安装 时 ,如 果 选 择 安 装 IIS 服务 , 则 系统 会 自动 创建 一 个 默 
认 的 Web 站 点 和 一 个 FTP 站 点 以 提供 相应 的 服务 。IIS 的 安装 可 以 像 安 装 DNS 和 
DHCP 一 样 ,在 “添加 /删除 Windows 组 件 ?窗口 中 选择 安装 相应 的 IIS 组 件 。IIS 安装 完 
成 后 ,系统 中 会 自动 添加 一 个 Internet 信息 服务 (IIS) 管 理 器 。 在 如 图 3-43 所 示 的 
“Internet 信息 服务 (IIS)” 对 话 框 IIS 中 可 以 对 Web FTP 及 SMTP 服务 进行 管理 。 

Ed 
x 
划 


Internet 信息 服务 IIS) 的 子 姐 件 加) : 
DP service 


回 区 公用 文件 
口 多 后台 智能 传送 服务 (BITS) 服务 器 扩展 0.2 和 
回 堵 万 维 网 服务 8.0 Wp 
回 岂 文 件 传输 协议 FTP) 服务 = 


3-43 “Internet 信息 服务 (1IS)” 对 话 框 


下 面 进一步 学 习 在 IIS 中 管理 Web 和 FTP 的 方法 。 


4 
99 
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1. 设置 主 目录 

在 IIS 中 ,用 于 向 Internet 发 布 信息 的 位 置 称 为 主 目录 或 根 节点 ,主要 用 来 设置 Web 
站 点 中 网 页 的 主页 和 一 些 相关 的 文件 ,动画 声音、 图 像 等 。 用 户 通过 单 击 主页 或 相关 链 
接 来 进一步 浏览 其 他 的 网 页 内 容 。 每 一 个 Web 站 点 必须 有 一 个 主 目录 。 主 目录 的 作用 
是 告诉 访问 者 所 有 的 访问 文件 的 位 置 ,以 便 进 行 快速 链接 。 

例如 , 某 站 点 的 Internet 域名 为 www. myserver. net, 而 主 目录 为 D:\myserver. net\ 
www, 客 户 端 浏览 器 通过 http://www. myserver. net 可 访问 D:\myserver. net\www 目 
录 中 的 文件 。 

设置 主 目录 的 操作 步 又 如 下 : 

(1) 打开 IIS 管理 器 

选择 “开始 ”一 “程序 ”一 "管理 工具 ”一 “Internet 信息 服务 (IIS) 管 理 器 ”命令 ,弹出 
“Internet 信息 服务 (IIS) 管 理 器 ”窗口 ,如 图 3-44 所 示 。 在 这 个 窗口 中 ,可 以 进行 有 关 IIS 
的 设置 。 

本 | 


周文 件 人 ) ”所作 册 查看 WW 窗口 如 帮助 和 0 | | 
+ + 加 | 加 | 久 | 因 |》 


日 | 2003SERVER 本 地 计算 机 | 强 2003SERYER (本 地 计算 机 ) 是 ITS ve.o 
四 已 FTP 站 点 
由 司 应 用 程序 池 
田 局 网 站 
用 -加 Web 服务 扩展 
回 半 5 默认 SMTP 虚拟 服务 4 


图 3-44 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 


(2) 设置 主 目录 

在 “Internet 信息 服务 (IIS) 管 理 器 ?窗口 中 : 单 击 * 网 站 ?节点 ,在 “默认 Web 站 点 ” 节 
点 图 标 上 右 击 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 在 弹出 的 “默认 网 站 属性 ”对 话 框 
中 有 若干 个 选项 卡 ,在 这 些 选项 卡 中 可 以 设置 此 Web 站 点 的 所 有 属性 。 打 开 “ 主 目录 ” 选 
项 卡 ,如 图 3-45 所 示 。 

设置 Web 页 对 应 服务 器 的 位 置 ,在 “本 地 路 径 ”" 文 本 框 中 输入 相应 的 位 置 D:\ 


myserver. netNwww。 
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EE 
目录 安全 性 1 ITP 头 1 目 定义 错误 | 
| 性 能 ”| 。 IsSAPT 第 迁 器 主 上 录 。 | 文档 
此 资源 的 内 容 来 自 : 
© 
个 另 一 台 计算 机 上 的 共享 @) 
个 重 定向 到 WRLQD 
| 本 地 略 径 Wyserver et 济 中 Qj 
把 脚本 资源 访问 加 ) 友 记录 访问 四 
应 读 职 吧 ) 灰 雪 引 资源 QD) 
室 入 WW 
打 目录 浏览 四 ) 
应 用 程序 设置 
应 用 程序 名 吧 )- [Ee 
| 开始 位 置 : US> 
| 执行 权限 @) tN 可 
| 应 用 程序 池 0D) Defanl tAppPool -| Ei A 
Cue |] ww | 用 W | ww 


3-45 主 目录 设置 


在 “此 资源 的 内 容 来 自选 项 区 域 中 ,有 3 个 用 来 选择 主 目录 内 容 来 源 的 单 选 按钮 。 
车资 源 来 自 当 前 服务 器 的 某 个 目录 ,应 选择 “此 计算 机 上 的 目录 ” 单 选 按钮 ; 若 资源 来 自 
其 他 计算 机 共享 的 目录 ,应 选择 * 另 一 台 计 算 机 上 的 共享 ” 单 选 按钮 ; 若 资源 来 自 Internet 
上 的 某 个 Web 站 点 , 则 应 选择 “ 重 定向 到 URL? 单 选 按钮 ,并 指明 URL 地 址 。 

在 对 资源 路 径 进行 选择 后 .还 要 设置 与 其 访问 有 关 的 权限 。IIS 中 对 资源 的 访问 权 
限 包括 : 读 取 、 写 人 .目录 浏览 .索引 资源 .记录 访问 和 脚本 资源 访问 。 在 主 目录 中 选择 相 
应 的 权限 的 复 选 框 ,设置 对 资源 的 控制 权限 。 

设置 主 目录 的 目的 是 告诉 IIS 服务 器 其 可 访问 的 资源 位 置 和 访问 权限 。 设 置 完毕 ， 
单 击 “确定 ”按钮 应 用 此 设置 。 

2. 虚拟 目录 的 创建 

当 一 台 IIS 服务 器 中 存放 的 资源 文件 不 在 同一 个 目录 时 ,为 了 使 用 户 能 够 对 资源 进 
行 统 一 的 访问 ,就 要 建立 虚拟 目录 来 对 不 同 资源 位 置 进行 管理 。 访 问 虚拟 目录 中 的 文件 
就 像 访 问 主 目录 中 的 文件 一 样 ,虚拟 目录 能 够 实现 同 主 目录 相同 的 功能 .但 它 的 物理 位 置 
并 不 在 主 目录 中 。 

建立 一 个 虚拟 目录 ,必须 为 虚拟 目录 规划 一 个 名 字 . 作 为 Web 浏览 器 访问 该 目录 的 
名 称 标识 。 站 点 管理 员 可 以 通过 此 标识 建立 URL 地 址 与 其 实际 目录 的 对 应 关系 。 

建立 一 个 虚拟 目录 ,别名 为 class, 实 际 位 置 为 C:\class, 对 应 的 URL 地 址 为 http:// 
www. myserver. net/ class。 

建立 虚拟 目录 的 操作 步骤 如 下 : 

(1) 在 “Internet 信息 服务 (IIS) 管 理 器 ?窗口 中 右 击 * 默 认 网 站 ”, 在 弹出 的 快捷 菜单 
中 ,选择 “新 建 ”一 "虚拟 目录 ”命令 ,如 图 3-46 所 示 。 
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C: \YINDOWS\Systen32\RpcPr oxy 


。 庶 拟 目录 0 - 
庶 所 路 径 呆 自 文件 ) D) 


图 3-46 添加 虚拟 目录 


(2) 在 弹出 的 “虚拟 目录 创建 向 导 ” 对 话 框 中 , 单 击 “ 下 一 步 "按钮 ,弹出 如 图 3-47 所 
示 的 对 话 框 。 在 此 对 话 框 的 “别名 ”文本 框 中 输入 用 于 识别 站 点 目录 的 标识 别名 class。 
本 


虚拟 目录 别名 
为 虚 握 目录 指定 一 个 短 名 称 或 别名 。 


Ee 得 Yeb 虚拟 目录 访问 权限 的 别名 。 使 用 的 全 名 规 刚 应 与 目录 命名 


别名 的); 


PE 本 


< [FS .my 


图 3-47 设置 虚拟 目录 的 别名 


(3) 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 3-48 所 示 的 对 话 框 。 在 此 对 话 框 的 路径” 文本 框 
中 输入 class 虚拟 目录 所 对 应 的 本 地 目录 位 置 C:\class。 如 果 本 地 目录 比较 深 , 为 了 防止 
出 现 错误 ,可 以 单 击 “ 浏 览 ” 按 钮 ,在 弹出 的 对 话 框 中 选择 正确 的 目录 位 置 即 可 。 

(4) 单 击 “ 下 一 步 " 按 钮 .弹出 如 图 3-49 所 示 的 对 话 框 。 在 此 对 话 框 中 ,可 以 根据 此 
目录 的 用 处 设置 对 此 目录 访问 的 权限 ,有 效 地 保护 目录 中 文件 的 安全 性 和 正确 性 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 对 话 框 中 , 单 击 “ 完 成 ”按钮 ,完成 虚拟 目录 的 设置 。 
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到 到 
网 站 内 容 目录 
要 发 布 到 网 站 上 的 内 容 的 位 置 


输入 包含 此 网 站 内 容 的 目录 的 路 径 。 
路 径 四 ): 


Fass 


IE || 


图 3-48 设置 虚拟 目录 对 应 的 实际 目录 位 置 


本 
虚拟 目录 访问 权限 
设置 虚拟 目录 的 访问 权限 。 


也 放下 列 权限 : 
万 读 取 吧 ) 

太 运行 脚本 Qo AsP) G) 

厅 执行 各 ISAPT 应 用 程序 或 Cer) @) 
厂 旬 从 友 

厅 训 览 四) 


单 击 “ 下 一 步 ”按钮 完成 向 导 - 


mw | 


图 3-49 设置 虚拟 目录 的 访问 权限 


3. Web 服务 器 的 管理 

Web 管理 器 中 还 有 很 多 设置 ,可 以 使 用 户 对 资源 访问 更 加 安全 ,稳定 和 便捷 。 这 些 
设置 主要 通过 Web 站 点 属性 对 话 框 来 实现 。 

(1)“ 网 站 ”选项 卡 

在 该 选项 卡 中 可 以 设置 网 站 标识 名 称 , 配 置 对 网 站 的 访问 权限 ,设置 站 点 的 连接 限 
制 , 还 可 以 启用 日 志 记 录 并 配置 站 点 的 日 志 记 录 格 式 , 如 图 3-50 所 示 。 

在 “描述 "文本 框 中 输入 网 站 的 标识 名 称 。 标 识 名 称 将 出 现在 IIS 管理 器 的 控制 台 
树 中 。 

@ 在 “IP 地 址 ?组 合 框 中 选择 一 个 IP 地 址 或 输入 用 于 访问 该 站 点 的 新 IP 地址。 如 
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目 | WIP 头 | 自 定义 请 误 
网 站 性 能 | IsSAPT 第 夺回 | 主 上 录 | 文档 
一 网 站 标识 
描述 G): 区 以 网 站 ] 
IP 地 址 中: EE 可 高 人 
TCP 请 口 @): [Em SSL 端口 中: 
连接 
连接 taim: [站 15 秒 
太 保持 ITTP 连接 吧 ) 
一 厅 月 用 日 志 记录 台 ) 
活动 日 志 格式 中 
sc 扩展 日 志文 件 格式 | 属性. | 


Cm |] ws | sw | Ww | 
3-50 “网 站 ”选项 卡 


果 没 有 分 配 指定 的 IP 地 址 ,那么 此 站 点 将 响应 分 配给 该 计算 机 但 没有 分 配给 其 他 站 点 
的 所 有 IP 地 址 , 则 该 站 点 成 为 默认 网 站 。 

@ TCP 端口 与 SSL 端口 。 在 “TCP 端口 ?文本 框 中 输入 运行 Web 服务 的 TCP 端 
口 ,默认 的 端口 号 是 80。 可 以 将 TCP 端口 更 改 成 任何 惟一 的 端口 号 ,如 果 更 改 TCP 端 
口号 ,必须 预先 通知 客户 端 , 以 便 客户 端 请 求 该 更 改 的 端口 号 ,否则 客户 端的 请 求 无 法 连 
接 到 服务 器 。TCP 端口 号 是 必需 的 .该 文本 框 不 能 为 空 。 

在 “SSL 端口 "文本 框 中 输入 与 该 网 站 标识 相关 联 的 SSL 端口 号 。 上 默认 的 SSL 端口 
号 是 443。 可 以 将 SSL 端口 更 改 成 任何 惟一 的 SSL 端口 号 ,如 果 更 改 SSL 端口 号 ,必须 
预先 通知 客户 端 , 以 便 客户 端 请 求 该 更 改 的 端口 号 。 只 有 当 站 点 使 用 SSL 加 密 时 才 需 要 
设置 SSL 端口 号 。 如 果 没 有 为 站 点 启用 SSL 加 密 , 则 “SSL 端口 ”文本 框 设置 为 空 。 

@ 在 “连接 超时 ”文本 框 中 以 秒 为 单位 设置 服务 器 断 开 不 活动 用 户 连接 的 时 间 长 短 ， 
这 将 确保 在 HTTP 协议 无 法 关闭 某 个 连接 时 .关闭 所 有 的 连接 。 大 多 数 Web 浏览 器 要 
求 服务 器 在 多 个 请 求 中 保持 连接 打开 ,这 需要 选择 “保持 HTTP 连接 ” 复 选 框 , 它 是 可 以 
极 大 增强 服务 器 性 能 的 HTTP 规范 。 如 果 没 有 选择 该 复 选 框 .浏览 器 将 不 得 不 为 包含 多 
个 元 素 ( 如 图 形 ) 的 页 面 进行 大 量 的 连接 请 求 , 可 能 需要 为 每 个 元 素 进 行 单独 连接 。 这 些 
额外 的 请 求 和 连接 要 求 额外 的 服务 器 活动 和 资源 ,这 将 会 降低 服务 器 的 效率 。 而 其 他 请 
求 特 别 是 通过 高 滞后 ( 慢 ) 连 接 的 请 求 ,也 可 以 使 浏览 器 变 慢 并 且 响 应 变 少 。 在 安装 过 程 
中 系统 默认 启用 “保持 HTTP 连接 ” 复 选 框 。 

回 选择 “启用 日 志 记 录 ” 复 选 框 可 以 启用 网 站 的 日 志 记 录 功 能 ,记录 关于 用 户 活动 的 
细节 并 按 所 选 格式 创建 日 志 , 日 志 记 录 的 信息 存储 在 ASCII 文件 或 与 ODBC 兼容 的 数 
据 库 中 。IIS 中 的 日 志 记 录 信 息 超出 了 Microsoft@ Windows® 事 件 日 志 或 性 能 监视 器 功 
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能 的 范围 。 日 志 包 括 的 信息 诸如 哪些 用 户 访问 了 您 的 站 点 ,访问 者 查看 了 什么 内 容 , 以 及 
最 后 一 次 查看 该 信息 的 时 间 等 。 日 志 可 以 用 来 评估 网 站 内 容 受 欢迎 程度 或 用 来 识别 信息 
瓶颈 。 当 需要 进行 日 记 记 录 时 .用 户 要 选择 一 种 日 志 的 格式 。 

“活动 日 志 格式 ”下 拉 列 表 框 中 有 4 个 选项 。 

。 Microsoft IIS 日 志文 件 格 式 是 一 种 固定 的 ASCII 格式 。 

。 NCSA 共用 日 志文 件 格 式 是 一 种 固定 的 ASCII 格式 。 

。 ODBC 日 志 记 录 是 一 种 记录 到 数据 库 的 固定 格式 ,与 该 数据 库 兼 容 。 

。 W3C 扩展 日 志文 件 格式 是 一 种 可 自 定义 的 ASCII 格式 ,该 格式 为 系统 的 默认 格 

式 。 要 使 用 进程 记 账 ,必须 选择 W3C 扩展 日 志文 件 格式 。 

(2)“ 主 目录 ”选项 卡 

在 此 选项 卡 中 可 以 在 IIS 服务 器 上 创建 和 管理 网 站 。 此 选项 卡 上 的 设置 与 虚拟 目录 
的 “ 主 目录 ”选项 卡 上 的 那些 可 用 设置 相似 。 

(3)“ 文 档 ” 选 项 卡 

在 此 选项 卡 中 可 以 定义 站 点 的 默认 网 页 并 在 站 点 文档 中 附加 页 脚 。“ 文 档 ” 选 项 卡 如 
图 3-51 所 示 。 


EE 
目录 安全 性 1 HTTP 头 1 目 定义 村 误 
网 站 | 性 能 。 ”| IAII 钙 迎 器 | 。 主 目录 文档 
一 厅 及 用 默 这 直 容 文档 色 ]| 
Bet hs 添加 | 
FE I 
EY 
上 上 乏 们 下 黎 QW 
一 三 局 用 文档 页 肢 0) 
胆 2n 一 个 mi 格式 的 天 到 几 的 Web 服务 器 返回 89 和 一 个 六 
二 Ww 


Cm |] we | saw | ww | 


图 3-51 “文档 ”选项 卡 


@ 选择 “启用 默认 内 容 文档 ” 复 选 框 后 ,只 要 浏览 器 请 求 没有 指定 文档 名 称 , 则 将 默 
认 文 档 提供 给 浏览 器 。 默 认 文档 可 以 是 目录 主页 或 包含 站 点 文档 目录 列表 的 索引 页 。 多 
个 文档 可 以 按照 自 上 向 下 的 搜索 顺序 列 出 。 列 表 框 中 显示 的 文件 可 在 站 点 的 主 目录 中 找 
到 。 单 击 * 上 移 ” 和 “下 移 ” 按 钮 可 以 调整 文档 的 顺序 。 如 果 文 档 列 表 中 只 有 一 个 文档 ,就 
可 以 自动 地 浏览 其 内 容 , 如 果 有 多 个 同时 存在 的 文档 , 则 按照 先后 顺序 选择 一 个 文档 
浏览 。 
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105 


106 


计算 机 网 络 管理 与 安全 


四 选择 “启用 文档 页 脚 ” 复 选 框 ,可 以 自动 附加 一 个 HTML 格式 的 页 脚 到 Web 服务 
器 返回 的 所 有 文档 中 。 页 脚 文件 不 是 完整 的 HTML 文档 ,只 包含 格式 化 页 脚 内 容 的 外 
观 和 功能 及 必要 的 HTML 标记 。 

(4)“ 性 能 ”选项 卡 

在 该 选项 卡 中 可 以 设置 网 站 的 带宽 限制 以 及 客户 端 Web 连接 的 数量 。 通 过 配置 站 
点 的 网 络 带 宽 , 可 以 更 好 地 控制 该 站 点 允许 的 流量 。 例 如 ,通过 限制 低 优先 级 的 网 站 上 的 
带宽 和 (或 ) 连 接 数 ,可 以 允许 其 他 高 优先 级 站 点 处 理 更 多 的 流量 负载 。 带 宽 限制 和 网 站 
连接 数量 的 设置 是 站 点 特定 的 ,并 可 随 着 网 络 流量 和 使 用 情况 的 改变 而 进行 调整 。“ 性 
能 ”选项 卡 如 图 3-52 所 示 。 

Ek 


目录 安全 性 1 JITP 头 | 

网 站 性 能 | IshPI 争先 器 | 
-带宽 限制 
厂 甫 向 网 让 可 以 合用 的 网 这 带 帘 世 ) 


暴 大 带宽 (生字 节 / 秒 ) 区 1024 


自 定义 错误 | 
主 上 录 ”| 文档 


mw | maw | ww | 
图 3-52 “性 能 ”选项 卡 


O@ 带宽 限制 。 带 宽 限制 限制 了 该 网 站 可 用 的 带宽 。 当 发 送 数 据 包 时 .带宽 限制 使 用 
数据 包 计 划 程 序 进行 管理 。 当 使 用 IIS 管理 器 将 站 点 配置 成 使 用 带宽 限制 时 ,系统 将 自 
动 安装 数据 包 计 划 程 序 , 并 且 IIS 自动 将 带宽 限制 设置 成 最 小 值 1024 千 字 节 / 秒 。 

选择 “限制 网 站 可 以 使 用 的 网 络 带 宽 " 复 选 框 可 以 启用 网 站 的 带宽 限制 。 

@ 网 站 连接 。 用 户 可 以 将 Internet 信息 服务 (IIS) 配 置 成 允许 数目 不 受 限制 的 并 发 
连接 或 限制 该 网 站 接收 的 连接 个 数 。 如 果 连 接 趋向 于 波动 , 则 将 连接 数量 设置 成 不 受 限 
制 可 以 避免 常量 管理 。 但 是 ,如 果 连 接 数 超过 了 系统 资源 , 则 系统 性 能 可 能 受到 影响 。 将 
站 点 限定 在 特定 的 连接 数 可 以 保持 系统 性 能 的 稳定 。 

(5)“HTTP 头 ” 选 项 卡 

在 “HTTP 头 ” 选 项 卡 中 ,可 以 在 HTML 页 的 标题 中 设置 返回 到 浏览 器 的 值 ,也 可 以 
设置 HTML 页 的 内 容 分 级 以 及 定义 MIME 类 型 。 可 以 对 所 有 站 点 进行 全 局 设置 ,也 可 
以 在 每 个 站 点 中 单独 设置 。Internet 信息 服务 (IIS) 对 这 些 设 置 使 用 继承 模型 。 如 果 用 
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户 更 改 了 与 层次 结构 中 的 其 他 节点 处 的 设置 有 冲突 的 设置 ,那么 系统 将 提示 用 户 指定 应 ”107 
用 此 新 设置 的 节点 。“HTTP 头 ” 选 项 卡 ,如 图 3-53 所 示 。 
.21x| 
网 站 | 性 能 。 | IsAPI 第 先 器 | 主 目录 | 文档 | 
目录 安全 性 JETP 头 | 自 定义 铺 误 
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添加 四 | 
编辑 加 | 
独 | 除 人 E) | 
起 : 向 FRR 站 后 提 并 的 内 容 4 区 编辑 分 级 中 


EN 


Cm |] we | maw | Wm | 
3-53 “HTTP 头 ” 选 项 卡 


O@ 启用 内 容 过 期 。 对 于 对 时 间 敏 感 的 材料 (例如 特定 的 报价 或 事件 公告 ) ,应 选择 
“启用 内 容 过 期 " 复 选 框 .浏览 器 将 当前 日 期 与 过 期 日 期 相 比较 来 决定 是 显示 一 个 缓存 页 ， 
还 是 从 服务 器 请 求 一 个 更 新 的 页 面 。 其 中 有 3 个 单 选 按 钮 : 
。 选中 “立即 过 期 " 单 选 按 钮 后 内 容 将 立即 过 期 。 该 设置 强制 浏览 器 总 是 从 服务 器 
上 检索 有 关 后 续 请 求 的 最 新 内 容 。 
。 选中 “此 时 间 有 段 后 过 期 " 单 选 按 钮 后 可 以 设置 特定 的 时 间 段 ,超过 该 时 间 段 后 则 强 
制 浏览 器 重新 从 服务 器 上 检索 有 关 后 续 请 求 的 内 容 。 

。 选中 “过 期 时 间 ” 单 选 按 钮 后 可 以 设置 特定 的 日 期 和 时 间 , 超 过 该 日 期 和 时 间 后 则 

强制 浏览 器 重新 从 服务 器 上 检索 有 关 后 续 请 求 的 内 容 。 

@ 自 定义 HTTP 头 。 可 以 使 用 该 属性 自 定 义 HTTP 头 从 Web 服务 器 发 送 到 客户 
端 浏 览 器 。 自 定义 HTTP 头 可 用 来 将 当前 HTTP 规范 中 尚 不 支持 的 指令 从 Web 服务 
器 发 送 到 客户 端 ,例如 ,产品 发 布 时 IIS 尚 不 支持 的 更 新 的 HTTP 头 。 

4. Web 站 点 的 测试 

配置 Web 站 点 后 ,还 需要 进行 Web 站 点 的 测试 。 

将 用 户 做 好 的 Web 页 面 放置 到 我 们 设置 的 Web 站 点 的 根 目录 中 , 即 D:\myserver. 
net\www 目录 中 。 启 动 正 浏览 器 .在 地 址 栏 中 输入 网 址 ,例如 ,http://localhostL/ 网 页 
文件 名 ] 或 http:// 二 本 机 域名 二 [/ 网 页 文件 名 ], 按 回 车 键 。 注 意 : 地 址 栏 中 如 果 输 入 了 
一 个 域名 , 则 相应 的 DNS 应 该 配置 正确 ,能 够 正确 地 解析 域名 对 应 的 主机 IP 地 址 。 如 果 
屏幕 显示 的 内 容 是 用 户 刚 做 好 的 网 页 . 则 证 明 站 点 的 配置 是 正确 的 。 如 果 屏 幕 上 有 提示 
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108 ”性 信息 ,应 根据 信息 的 内 容 再 进行 调试 。Web 站 点 的 测试 结果 如 图 3-54 所 示 。 
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图 3-54 Web 站 点 的 测试 
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文件 传输 协议 FTP(File Transfer Protocol) 是 Internet 上 使 用 最 为 广泛 的 文件 传送 
协议 。FTP 提供 交互 式 的 访问 ,允许 用 户 指 名 文件 的 类 型 与 格式 ,并 允许 文件 具有 存 取 
权限 。FTP 系统 是 一 个 通过 Internet 传输 文件 的 系统 , 它 支 持 文本 文件 ` 图 形 图 像 文件 
以 及 声音 文件 和 程序 文件 等 的 传输 。 用 户 从 FTP 服务 器 上 把 所 需 文件 或 资源 传送 到 自 
己 的 计算 机 上 的 过 程 称 为 FTP 的 下 载 ; 用 户 将 文件 从 自己 的 计算 机 上 发 送 到 FTP 服务 
器 上 的 过 程 称 为 FTP 的 上 传 。 
FTP 采用 客户 机 /服务 器 模式 进行 工作 ,所 以 客户 机 必须 建立 与 远程 FTP 服务 器 的 
连接 ,并 且 登 录 后 才能 进行 文件 传输 。 通 常情 况 下 ,登录 FTP 服务 器 的 方式 有 两 种 。 
。 匿名 登录 。 采 用 这 种 方式 ,用 户 可 以 免费 访问 FTP 服务 器 ,并 且 可 索取 文件 , 匿 
名 登录 不 要 求 用 户 事先 在 该 服务 器 进行 注册 ,服务 器 就 能 够 无 偿 提供 对 文件 的 复 
制服 务 。 匿 名 登录 方式 的 用 户 名 为 anonymous, 密 码 为 任意 符号 或 空 。 
。 实名 登录 。 实 名 登录 要 求 用 户 在 登录 FTP 服务 器 之 前 ,必须 先 向 该 服务 器 的 系 
统管 理 员 申 请 用 户 名 及 密码 ,该 方式 主要 用 于 FTP 服务 器 内 部 或 外 部 的 有 偿 信 
息 服 务 。 采 用 这 种 方式 登录 时 ,系统 要 求 提交 真实 存在 的 用 户 名 及 密码 ,并 进行 
身份 认证 。 实 名 登录 可 以 有 效 地 保护 私人 用 户 的 数据 安全 及 个 人 隐私 。 
1. 建立 2003server. myserver. net FTP 服务 器 
有 一 个 服务 器 ,域名 为 2003server. myserver. net,IP 地 址 为 192. 168. 1. 10, 在 其 上 配 
置 当前 域 的 FTP 服务 ,其 FTP 服务 文件 存放 的 主 目录 位 于 D:\myserver. net\ftp, 并 且 
可 以 进行 上 传 和 下 载 。 其 设置 步骤 如 下 : 
(1) 在 “Internet 信息 服务 (1S) 管理 器 "窗口 中 , 右 击 *FTP 站 点 ”中 的 “默认 FTP 站 
点 ”, 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,如 图 3-55 所 示 。 
(2) 在 弹出 的 “默认 FTP 站 点 属性 ”对 话 框 中 .根据 需要 进行 IP 地 址 和 TCP 端口 号 
及 超时 时 间 、 上 账户 安全 设置 . 主 目录 位 置 和 目录 安全 性 的 设置 。 
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(3) IP 地 址 和 端口 的 设置 。 在 “IP 地 址 ?组 合 框 中 指定 一 个 IP 地 址 或 输入 用 于 访问 ”109 
该 站 点 的 新 IP 地址。 如 果 没 有 分 配 指定 的 IP 地 址 ,那么 此 站 点 将 响应 分 配给 该 计算 机 
但 没有 分 配给 其 他 站 点 的 所 有 IP 地 址 ,使 它 成 为 默认 网 站 。 要 使 IP 地 址 出 现在 列表 
中 ,必须 在 “控制 面板 ”窗口 中 定义 了 此 IP 地 址 可 在 该 计算 机 上 使 用 。 
FTP 服务 运行 的 TCP 端口 的 默认 端口 号 是 21。 可 以 在 “TCP 端口 "文本 框 中 将 端 
口号 更 改 为 任何 惟一 的 TCP 端口 号 ,但 是 客户 端 必 须 事先 知道 才能 请 求 该 端口 号 ,否则 
其 请 求 不 能 连接 到 服务 器 。TCP 端口 号 是 必需 的 ,该 文本 框 不 能 为 空 。 
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图 3-55 FTP 站 点 的 创建 
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图 3-56 FTP 站 点 IP 地址 和 TCP 端口 设置 


根据 题目 ,这 里 使 用 默认 的 配置 即 可 ,如 图 3-56 所 示 。 


(4) 安全 账户 登录 设置 。 在 “安全 账户 ?选项 卡 中 可 以 管理 该 FTP 站 点 的 账户 。 用 


户 可 以 指定 用 于 匿名 客户 端 请 求 登 录 到 
计算 机 的 账户 ,并 且 可 以 控制 具有 站 点 操 
作 员 权限 的 那些 用 户 。 如 果 使 用 匿名 登 
录 , 则 将 “允许 匿名 连接 " 复 选 框 选 中 ,在 
“用 户 名 ”和 “密码 ”文本 框 中 输入 一 个 本 
地 主机 的 一 个 账号 。 如 果 选 中 “只 允许 匿 
名 连接 " 复 选 框 , 则 用 户 就 不 能 使 用 用 户 
名 和 密码 登录 。 此 选项 可 避免 具有 管理 
权限 的 账号 访问 ,而 只 允许 以 匿名 账号 
登录 。 

根据 题目 ,选择 “允许 匿名 连接 ” 复 选 
框 但 不 选择 “只 允许 匿名 连接 " 复 选 框 ,如 
图 3-57 所 示 。 
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图 3-57 安全 账户 设置 


110 


计算 机 网 络 管理 与 安全 


(5) 主 目录 位 置 及 访问 权限 设置 。 在 “ 主 目录 ”选项 卡 中 可 以 更 改 FTP 站 点 的 主 目 
录 或 修改 其 属性 。 主 目录 是 FTP 站 点 中 用 于 存储 已 发 布 文件 的 目录 。 在 安装 FTP 服 
务 时 ,系统 将 创建 存储 在 %localdrive%Ninetpub\ftproot 中 的 默认 主 目录 。 
对 于 FTP 主 目录 位 置 的 设置 ,有 两 个 单 选 按钮 可 供 选 择 : 
。 选择 “此 计算 机 上 的 目录 ” 单 选 按钮 ,指定 的 目录 是 本 计算 机 上 的 某 一 个 目录 ; 
。 选择 * 另 一 台 计 算 机 上 的 目录 ”, 利 用 网 络 进行 文件 目录 访问 。 在 此 文本 框 中 输入 
服务 器 名 和 目录 名 。 文 件 和 目录 在 其 他 计算 机 上 存储 。 
为 了 更 好 地 对 目录 进行 访问 ,可 以 对 目录 进行 权限 上 的 设置 。 权 限 包括 3 种 : 
。 读 取 : 设置 该 权限 允许 用 户 读 取 或 下 载 存 储 在 主 目录 或 虚拟 目录 中 的 文件 。 
。 写 入 : 设置 该 权限 允许 用 户 向 服务 器 中 已 启用 的 目录 上 传 文件 。 应 该 仅 对 要 接 
收 用 户 文件 的 目录 启用 写 人 权限 。 
。 记录 访问 : 设置 该 权限 将 对 该 目录 的 访问 记录 到 日 志文 件 中 。 只 有 为 该 FTP 站 
点 启用 日 志 记录 时 才 记 录 访 问 。 默 认 情 况 下 启用 日 志 记录 。 
根据 题目 要 求 , 在 “此 资源 的 内 容 来 源 ” 选 项 组 中 选择 “此 计算 机 上 的 目录 ” 单 选 按钮 ， 
在 “本 地 路 径 ” 文 本 框 输入 FTP 站 点 目录 为 D:\myserver. net\ftp, 设 置 用 户 对 此 目录 文 
件 的 访问 权 为 完全 控制 , 即 选择 “ 读 取 ”“ 写 入 ”“ 记 录 访问 ”3 个 复 选 框 ,如 图 3-58 所 示 。 
(6) 目录 安全 性 设置 。 在 “目录 安全 性 ”选项 卡 中 可 允许 或 阻止 单个 计算 机 或 计算 机 
组 访问 FTP 站 点 。 通 过 将 计算 机 的 TCP 或 IP 地 址 指定 为 授权 或 拒绝 访问 权限 ,可 以 
控制 对 FTP 资源 的 访问 ,例如 站 点 、 虚 拟 目 录 或 文件 。 在 “下 面 列 出 的 除外 ”列表 框 中 输 
和 授权 或 拒绝 之 外 的 主机 。 如 果 没 有 特例 , 则 所 有 访问 的 主机 按照 授权 或 拒绝 进行 对 资 
源 的 访问 ,如 图 3-59 所 示 。 
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根据 题目 要 求 ,选中 ”授权 访问 ? 单 选 按钮 ,上 且 不 设置 任何 例外 。 
(7) 所 有 设置 完毕 , 单 击 “确定 ”按钮 .完成 FTP 站 点 的 属性 设置 。 
至 此 ,一 个 基于 本 地 目录 的 FTP 服务 器 设置 完毕 。 为 了 保证 FTP 设置 的 有 效 性 ,还 


第 3 章 Windows 2003 服 务 器 的 架设 


要 对 设置 的 服务 器 进行 测试 。 

2. 测试 FTP 站 点 

FTP 站 点 的 测试 与 Web 站 点 的 测试 相似 。 

首先 ,将 一 些 文件 或 目录 复制 到 FTP 站 点 的 虚拟 根 中 。 然 后 ,打开 IE 浏览 器 ,在 地 
址 栏 中 输入 FTP 站 点 的 地 址 ,如 ftp:/Vlocalhost 或 ftp:// 二 本 机 IP 二 , 按 回 车 键 。 如 果 
测试 显示 的 文件 和 目录 与 复制 的 一 样 , 并 且 能 够 以 匿名 或 非 匿 名 方式 进行 登录 , 则 表示 
FTP 站 点 设置 正确 。 


3.4 综合 实 训 


假设 某 单位 的 域名 为 sjsyd. com. cn, 其 单位 有 相关 服务 器 ,请 根据 下 面 的 要 求 进 行 
相关 配置 。 

(1) 配置 DNS 服务 。 此 单位 域名 服务 器 的 地 址 为 172. 16. 32. 4, 此 域 下 域名 及 IP 地 
址 的 对 应 关系 ,如 表 3-1 所 示 。 请 配置 DNS 服务 ,使 其 可 以 使 用 域名 访问 某 个 主机 。 


表 3-1 域名 和 IP 地 址 对 应 表 


域 名 IP 地 址 域 名 IP 地 址 
www. sjsyd. com 172. 16. 32.2 dhcp. sjsyd. com 172. 16. 32. 5 
ftp. sjsyd. com 172. 16. 32.3 mail. sjsyd. com 172. 16. 32.6 
dns. sjsyd. com 172. 16. 32.4 sql. sjsyd. com 172. 16. 32.7 


(2) 配置 动态 IP 地 址 分 配 服务 (CDHCP) 。 在 此 域 下 ,有 一 网 络 区 域 经 常 有 一 些 笔 记 
本 设备 加 入 到 当前 区 域 中 ,所 以 要 给 予 其 本 区 域 可 用 的 IP 地 址 。 请 设置 一 DHCP 服务 
器 ,可 用 地 址 范围 为 172. 16. 32. 100 一 172. 16. 32. 200, 掩 码 为 255. 255. 255. 0。 此 域 的 
DNS 地 址 为 172. 16. 32. 4 ,网关 为 172. 16. 32. 1。 每 个 IP 地 址 的 有 效 期 为 1 天 。 

(3) 配置 Web 服务 。 配 置 www. sjsyd. com. cn 主机 ,其 下 有 一 虚拟 目录 ,名 为 home. 其 
对 应 的 主 目 录 为 本 地 目录 C:\www. 设 置 对 此 目录 的 访问 权 为 只 读 , 并 将 C:\www\ 
index. html 设置 为 默认 文档 。 

(4) 配置 FTP 服务 器 。 设 置 FTP 服务 器 ,使 域 中 所 有 主机 都 可 以 利用 FTP 服务 , 共 
享 资源 。FTP 的 URL 地 址 为 ftp://ftp. sjsyd. com. cn/sharefiles。 要 求 FTP 服务 器 对 
sharefiles 目录 开放 所 有 权限 ,让 每 一 个 用 户 都 能 进行 资源 的 读 写 ,并 且 FTP 服务 器 支持 
匿名 登录 和 实名 登录 。 

要 配置 这 一 章 的 实 训 , 首 先 要 进行 分 析 , 分 析 需 要 几 个 服务 器 进行 网 络 服 务 管理 , 然 
后 就 是 对 软件 服务 进行 安装 。 在 服务 器 上 安装 相应 的 DNS、DHCP、IIS、FTP 等 服务 器 
的 支持 软件 接口 。 在 “控制 面板 ”>“ 添 加 或 删除 程序 ”>“ 添 加 /删除 Windows 组 件 " 窗 口 
中 可 以 找到 相应 的 服务 ,并 进行 安装 ,如 图 3-60 所 示 。 最 后 进行 服务 器 升级 ,利用 
dcpromo 命令 将 工作 站 升级 为 域 控 制 器 ,域名 为 sjsyd. com. cn。 以 上 是 进行 此 次 实 训 的 
前 提 条 件 , 接 下 来 就 可 以 配置 其 中 的 服务 了 。 
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刁 = 姐 件 向 导 


Tindows 钴 件 
可 以 添加 或 内 Windows 的 组 件 - 


人 的 


姐 件 CC); 


口 亏 素 引 服 务 oom 可 
加 司 应 用 程序 服务 器 24.4mB 
口 加 远程 安装 服务 1 上 

] 蜗 远 得 存储 3.5mm | 


描述 ; 包含 各 种 专门 的 、 网 络 相关 的 服务 和 协议 。 


所 需 磁 条 空间 : 1.8 上 二 
可 用 磁盘 空间 :; 1817.6 上 - 


《 上 一 步 昌 | 下 一 步 吧 > 取消 | 导电 | 


3-60 ”添加 /删除 Windows 组 件 


1. DNS 配置 

操作 步骤 如 下 : 

(1) 选择 “开始 ”一 程序 ”管理 工具 ”DNS 命令 ,在 弹出 的 窗口 中 右 击 服务 器 名 
称 ,在 弹出 的 快捷 菜单 中 选择 “新 建 区 域 ”命令 ,如 图 3-61 所 示 。 


E =Io|xl 
半 文件 下 ” 拘 作 上 查看 必 ) 窗口 和 帮助 0D) |=1e1xi 
和 二 | 四 | 丽 |X 晕 国葬 | 国 | 日 问 加 | 
DNS [ 2003SERVER 
-Wr 


所 有 任务 下) » 
查看 QV) 
从 这 里 创 娃 窗口 虹 ) 
有 ) 


出 新 到) 
导出 列表 C) 


属性 中 ) 
玫 助 QD 


ny 


图 3-61 配置 DNS 区域 


(2) 按照 弹出 的 “新 建 区 域 向 导 ” 对 话 框 中 的 步骤 创建 主 区 域 中 的 正 向 查找 区 域 .区 域 
名 称 为 sjsyd. com. cn, 如 图 3-62 所 示 。 根 据 向 导 提 示 说 明 单 击 * 下 一 步 ? 按 钮 ,最 终 完 成 正 
向 查找 区 域 的 建立 。 
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区 域名 称 
新 区 域 的 名 称 是 什么 ? 


二 指定 Ds 名 和 有 二 各 理 ， 这 可能 是 组织 昌 
Me 有 pe 


区 域名 称 包 ): 
[jsya em 可 


有 关 区 域名 称 的 详细 信息 ， 请 单 击 “ 帮 助 ”- 


< 上 - 步 @ [下 一步 四 > 取消 帮助 
图 3-62 建立 正 向 查找 区 域 


(3) 按照 建立 正 向 域 的 方法 建立 反 向 查找 区 域 ,区 域 的 IP 地 址 段 为 172. 16. 32. 0/24， 
如 图 3-63 所 示 。 根 据 提示 信息 最 终 完 成 反 向 查找 区 域 的 建立 。 所 有 区 域 建立 完成 ,如 
图 3-64 所 示 。 

车 


反 向 查找 区 域名 称 
反 向 查找 区 域 格 IF 地 址 转换 为 DNS 名 称 。 


要 标识 反 向 查找 区 域 ， 请 健 入 网 络 ID 或 区 域名 称 。 
® bs 
hr2 .16 .32 


购 怪 匡 是 犀 于 该 区 域 IP 地 址 的 部 分 。 用 正常 不 是 反 向 的 ) 硕 序 输 入 


Na de ee i 守 人 
0. 0 in-addr. arpa 区 域 ， 


有 关 创 胖 反 向 查找 区 域 的 详细 信息 ,请 单 击 “ 帮 助 ”。 


一 了 | WW 助 | 
图 3-63 ”建立 反 向 查找 区 域 


(4) 建立 好 区 域 后 ,可 以 向 区 域 中 添加 相应 的 记录 ,实现 域名 的 解析 。 右 击 正 向 查找 
区 域 sjsyd. com. cn, 在 弹出 的 快捷 菜单 中 选择 “新 建 主机 ”命令 ,如 图 3-65 所 示 。 

(5) 在 弹出 的 “新 建 主 机 ”对 话 框 中 输入 相应 的 IP 地 址 和 域名 ,如 图 3-66 所 示 。 选 择 
“创建 相关 的 指针 (PTR) 记 录 ” 复 选 框 可 以 省 略 向 反 向 查找 区 域 中 添加 记录 的 过 程 , 单 击 
“添加 主机 ”按钮 .系统 会 自动 向 反 向 查找 区 域 中 添加 主机 记录 ,实现 双向 的 解析 。 

(6) 按照 这 种 方法 ,将 所 有 的 记录 添加 到 DNS 服务 器 的 记录 集 里 ,记录 添加 好 之 后 
就 可 以 进行 IP 地 址 和 域名 之 间 的 解析 服务 了 。 正 向 解析 域 如 图 3-67 所 示 , 反 向 解析 域 
如 图 3-68 所 示 。 


_=|D xj ~ dnsaent — [DESV2003SERYER lolxl 
三 | 本 | 于 | EJ 
名 ,文件 E) 操作 亿 ) 查看 WD 窗口 如 ” 必 助 ( 名 文件 中 ”操作 以 ) 查看 WW) 窗口 和 帮助 
寻 少 | 因 | 四 | 国民 | 岛 | 自 利 加 守 | 因 | 四 | 回民 | 岛 | 目 自 印 
DNs EE DES EE 
日 - 目 2003sFRYER 日 - 目 2003sERyER 
加 日 名医 BE 下 世 团 sisy 
sisyd. com. cn 
日 生 六 向 查找 区 城 日 国 反 向 查找 区 域 更 新 服务 器 数据 交 件 吊 ) 
“万 172. 16. 32. x Subnet 一 团 172.16.32.x ”重新 加 载 (E) 
吕 加 事件 查看 器 白 发 事 首 查看 器 本 
四 mm 事件 图 事件 。 新建 别名 CNAIEJIA) 
新 建 邮 件 交换 器 WX) @) 
新 建 域 0). 
新 建委 派 GD) . 
其 地 新 记录 尼 ) . 
所 有 任务 到 ) 
从 这 里 创建 窗口 中) 
删除 nm) 
刷新 下) 
属性 (8) 
ss | 生计 一 8 新 主 ”和 助 如 
图 3-64 DNS 正 向 和 反 向 查找 区 域 图 3-65 在 正 向 查找 区 域 中 建立 一 条 主机 记录 
可 本 
名 称 0 果 为 空 则 使 用 其 父 域名 称 ) QD : 
完全 合格 的 域名 FF9D); 
Few sjsyd con en 
IP 地 址 EE); 
?72 .16 32 2 
7 着 尘 和 天 的 指针 GF7R) 记 杂记]] 


| he 


md 


图 3-66 向 DNS 中 输入 相应 的 域名 及 IP 地 址 


3 起 始 授 梭 机 构 GOA) 0]，2003server ， 
全 父 文 件 严 相同 ) 名 称 艰 务 器 0S) 2003server 


主机 以 ) 172. 16.32.2 
由 Se 主机 以 ) 172.16.32 4 
主机 WA) 172.18.32.5 
主机 172. 18.32.6 
主机 ON) 172.18.32.7 
主机 内 172.18.32.3 


图 3-67 正 向 解析 域 
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起 始 授权 机 构 SOA) 


3-68 反 向 解析 域 


2. DHCP 服务 设置 

操作 步 又 如 下 ; 

(1) 首先 启动 DHCP 服务 器 ,在 相应 的 服务 器 名 称 上 右 击 , 在 弹出 的 快捷 菜单 中 先 
择 * 授 权 ” 命 令 , 然 后 在 快捷 菜单 上 选择 * 新 建 作用 域 "命令 ,如 图 3-69 所 示 。 


文件 到) ”操作 必 ) 查看 G) 帮助 如 
中 之 | 外 加 |X 咖 加 | 急 | 亚 


服务 器 


县 行 苹 地址 前 ， 称 必须 目 娃 一 个 作用 大 并 摄 访 
村 直 的 的 各 寻 的 隐 时 -过 
域 ， 请 在 “ 折 作 ”菜单 上 和 而 “新建 作 用 域 ”。 


服务 器 ,请 在 “ 挫 作 ” 架 单 上 单 击 “ 授 权 ”。 
间 ， 需 要 更 新 状态 ,请 按 F5 键 ， 或 者 在 请 在 “ 换 


人， 请 参 风 联机 “可 助 
出 除 届 ) 
FU E) 


在 目录 上 授权 这 台 服务 器 属性 I 


图 3-69 授权 DHCP 服务 器 


(2) 在 弹出 的 对 话 框 中 ,输入 作用 域名 称 sjsyd. com. cn, 如 图 3-70 所 示 。 

(3) 单 击 * 下 一 步 ? 按 钮 .在 弹出 的 对 话 框 中 为 创建 的 动态 分 配 域 输入 可 用 的 IP 地 址 
范围 和 此 域 的 子 网 掩 码 长 度 , 如 图 3-71 所 示 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,由 于 没有 任何 的 其 他 IP 地 址 在 这 个 范围 内 ,所 以 “排除 的 地 
址 范围 ?列表 框 不 需要 填写 。 

(5) 单 击 * 下 一 步 ? 按 钮 ,在 弹出 的 对 话 框 中 设置 动态 分 配 的 IP 地 址 使 用 的 租 期 为 
1 天 ,如 图 3-72 所 示 。 
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新 建 作用 域 向 导 区 


作用 域名 
您 必须 提供 一 个 用 于 识别 的 作用 域名 称 。 您 还 可 以 提供 一 个 描述 (可 选 )。 


谢 此 作用 城 铂 入 名 称 和 六 壕 。 此 信息 帮助 您 快速 标识 此 作用 域 在 网 络 上 的 作 


名 称 由 ): JEEETTT 
描述 四 ) 1 


< 上 一 步 @) [下 一 步 op > 取消 | 
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IP 地 址 范围 
悠 通过 确定 一 钥 连 续 的 IF 地 址 来 定义 作用 域 地 址 范围 。 


输入 此 作用 域 分 配 的 地 址 范围 。 


起 始 IF 地 址 (8); 172 16 32 100 
结束 IP 地 址 到) 172. 16 . 32 . 200 


竹 民 捕 吕 震 基 开 接 扯 秩 宕 污 介 周作 加 生子 由 蔬 ， 儿 人 少 位 用 作 主 机 TD 您 


长 度 避 ): 4 - 


子 网 掩 码 QD : 255 . 255 . 255 .0 


< 上 一 步 @) 取 袍 


图 3-71 输入 DHCP 的 起 始 和 终止 的 IP 地 址 


新 建 作用 域 向 导 


租约 期 限 
租约 期 限 指定 了 一 个 客户 端 从 此 作用 域 使 用 IF 地 址 的 时 间 长 短 。 


Re 


| + 位 置 固定 的 网 络 来 说 ,设置 较 长 的 租 


设置 服务 器 分 配 的 作用 域 租约 FR。 
限制 为 : 

天 四 ): 小 时 四 ): 分 钟 四 ): 

1 习 捕 当 乒 当 


< 上 一 步 四 取消 
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第 3 章 Windows 2003 服 务 器 的 架设 


(6) 单 击 * 下 一 步 ? 按 钮 ,在 弹出 的 对 话 框 中 选择 * 是 ,我 想 现在 配置 这 些 选 项 * 单 选 
按钮 。 
(7) 单 击 * 下 一 步 ? 按 钮 ,在 弹出 的 对 话 框 中 设置 DHCP 其 他 选项 ,如 DNS 地址、 网关 
路 由 地 址 等 。 
(8) 最 后 ,在 “激活 作用 域 ”? 向 导 中 选择 “激活 ”, 最 终 单 击 “ 完 成 ”按钮 即 可 配置 好 一 台 
DHCP 动态 IP 地 址 分 配 服务 器 ,如 图 3-73 所 示 。 
= 
文件 @) 操作 () 查看 WW) 帮助 由 
全 祖 | 外 | 四 | 国 图 | 七 | 尿 


DHCP 


局 - 国 作用 域 [172. 16.32.0] sjsyd com. en 标准 型 ”172.16 32 1 

s 壤 006 DHS 服务 器 。 标准 型 ”172.16.32.4 
名 地 址 租约 入 015 DRs 域名 标准 型 sjsyd com cn 
4 作用 域 选项 

二 服务 器 选项 


守则 是 


图 3-73 DHCP 服务 配置 结果 


3. Web 服务 设置 

(1) 首先 启动 IIS 服务 程序 ,在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 中 , 右 击 “ 网 站 ” 
节点 下 的 “默认 站 点 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 ”>“ 虚 拟 目 录 ” 命 令 , 如 图 3-74 
所 示 。 

(2) 在 弹出 的 “虚拟 目录 创建 向 导 ” 对 话 框 中 ,根据 提示 向 导 一步 一 步 地 进行 配置 。 
其 中 ,在 如 图 3-75(a) 所 示 的 对 话 框 的 “别名 ”文本 框 中 输入 home, 单 击 “ 下 一 步 ”按钮 ; 在 
如 图 3-75(b) 所 示 对 话 框 的 “路 径 ” 文 本 框 中 输入 C:\www, 单 击 “ 下 一 步 " 按 钮 。 在 如 
图 3-75(c) 所 示 对 话 框 中 选择 “ 读 取 ”和 “运行 脚本 (如 ASP)” 复 选 框 ,使 网 络 用 户 访 问 此 
虚拟 目录 时 只 具有 对 文件 的 只 读 权 限 。 

(3) 单 击 * 下 一 步 ?按钮 ,完成 虚拟 目录 的 创建 。 当 设置 好 这 个 虚拟 目录 后 还 要 给 这 
个 目录 设置 默认 的 访问 文档 ,方法 为 : 在 “home 属性 ”对 话 框 的 “文档 ”选项 卡 中 , 单 击 “ 添 
加 ”按钮 ,在 弹出 的 “添加 内 容 页 ”对 话 框 中 输入 默认 文档 名 称 index. html 并 选择 “启用 默 
认 内 容 文档 ” 复 选 框 , 如 图 3-75(d) 所 示 。 
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3-75 IIS 建立 虚拟 目录 
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注意 : 由 于 本 题目 没有 涉及 Web 站 点 的 端口 问题 ,所 以 端口 使 用 系统 默认 的 80 端 ” 村 9 
口 。 如 果 要 求 使 用 其 他 端口 , 则 应 在 “默认 网 站 ”的 “属性 ”对 话 框 的 “TCP 端口 "文本 框 中 
输入 要 求 的 端口 号 。 如 果 题 目 中 要 求 对 站 点 的 目录 有 修改 和 写 人 的 权限 ,还 应 加 入 相应 
用 户 或 用 户 组 的 修改 和 写 人 权限 ,否则 会 出 现 站 点 的 目录 无 法 修改 的 错误 。 

4. FTP 服务 设置 

(1) 启动 IIS 服务 程序 ,在 “Internet 信息 服务 (IIS) 管 理 器 ?窗口 中 , 右 击 FTP 站 点 ” 
节点 的 “默认 FTP 站 点 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 ”虚拟 目录 ”命令 ,如 图 3-76 
所 示 。 


TFT 和 =I9lxl 
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同 Internet 信息 服务 
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所 有 任务 中 ， FTP 站 点 康文 件 ) G) 
”。 庶 扫 路径 不 自 文件 ) D0) 


刷新 在 ) 
人 六 到 
EL [ i 


3-76 创建 FTP 虚拟 目录 


(2) 在 弹出 的 “虚拟 目录 创建 向 导 ” 对 话 框 中 .根据 提示 进行 设置 。 在 弹出 的 对 话 框 
中 输入 目录 的 名 称 sharefiles ,如 图 3-77 所 示 。 
可 


虚拟 目录 别名 
为 虚拟 目录 指定 一 个 短 名 称 或 别名。 


TS 使 用 的 命名 规则 应 与 命名 目录 的 规则 
别名 节 ) 


Er 


_ 
图 3-77 输入 虚拟 目录 的 名 字 
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120 (3) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 对 话 框 中 输入 sharefiles 虚拟 目录 对 应 的 本 地 目录 
位 置 ,可 以 在 “路 径 ” 文 本 框 中 输入 目录 位 置 D:\sjsyd. com. cn\ftp, 也 可 以 单 击 “ 浏 览 ” 按 
钮 来 查找 目录 的 位 置 ,如 图 3-78 所 示 。 


FIP 站 点 内 容 目 录 
要 发 布 到 FTP 站 点 的 内 容 的 位 置 。 


输入 包含 此 FTP 站 点 内 容 的 目录 的 路 径 。 


路 径 邓 ): 
D: \sjsyd.com.cn\fip 浏览 8) 


sw [FB 有 吨 


图 3-78 输入 虚拟 目录 对 应 的 本 地 目录 位 置 


(4) 单 击 “ 下 一 步 " 按 钮 .在 弹出 的 对 话 框 中 设置 对 目录 的 操作 访问 权限 ,“ 读 取 ” 和 
“ 写 和 ”两 个 复 选 框 都 要 选择 ,如 图 3-79 所 示 。 
Ed| 


虚拟 目录 访问 权限 
设置 虚拟 目录 的 访问 权限 。 


区 许 下 列 权限 - 
厅 读 取 人 ) 
FA 


单 击 “下 一 步 ”完成 向 导 - 


《上 一 步 @) 取消 
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(5) 单 击 “ 下 一 步 " 按 钮 ,在 弹出 的 对 话 框 中 单 击 “ 完 成 "按钮 ,至 此 虚拟 目录 建立 完毕 。 

(6) 对 FTP 服务 器 根 的 属性 进行 设置 。 由 于 用 户 一 般 以 匿名 方式 登录 FTP 服务 
器 ,所 以 要 在 “默认 FTP 站 点 属性 ”对 话 框 的 “安全 账户 ”选项 卡 中 进行 设置 。 选 择 “ 允 许 
匿名 连接 ? 复 选 框 , 如 图 3-80 所 示 。 单 击 “ 确 定 ” 按 钮 ,完成 FTP 的 设置 。 用 户 就 可 以 通 
过 浏览 器 使 用 FTP 协议 进行 FTP 服务 的 应 用 ,如 图 3-81 所 示 。 
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TTP 站 点 安全 帐户 | 消息 “| 主 目录 | 目录 安全 性 | 
j7 将 连 接 
驮 名 访问 俩 用 下 列 Wingors 用 户 帐 己 - 
用 户 名 QD: rusa 2003sERves 训 览 四 )... 
ED [ve 


厂 只 允许 匿 名 连接 Q) 


图 3-80 匿名 登录 的 设置 


an 文件 实 2007-2-8 18:34 


用 户 : 匿名 [ 国 Internet 


图 3-81 FTP 的 应 用 


3.5 本 章 小 结 


本 章 主 要 介绍 Windows Server 2003 的 网 络 服务 功能 .学习 如 何 用 相应 组 件 安装 . 配 
置 网 络 服务 器 的 方法 和 技巧 ,同时 介绍 了 常见 的 DNS.DHCP 服务 器 的 工作 原理 。 本 章 
知识 的 重点 是 WWW、DNS、DHCP 及 FTP 的 配置 与 管理 。 希 望 通过 学 习 , 学 会 用 软件 
建立 应 用 服务 器 的 一 般 方法 ,并 能 举一反三 。 


3.6 本 竟 习 题 


. 简 述 DNS 进行 域名 解析 的 工作 过 程 。 

. 简 述 DHCP 服务 器 的 工作 过 程 。 

. 用 虚拟 目录 方法 ,在 一 个 IP 地 址 上 建 两 个 网 站 。 

. 用 反 向 域名 解析 的 方法 .在 一 个 IP 地 址 上 建 两 个 网 站 。 
. 想 一 想 在 Internet 上 发 布 一 个 网 站 .要 做 哪些 准备 工作 ? 


an wm 
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本 章 内 容 : 

本 章 将 介绍 网 络 安 全 的 知识 。 首 先 介 绍 与 信息 安全 有 关 的 技术 : 加 密 技术 、 密 铀 
管理 技术 、 数 字 签 名 技术 、 数 据 完整 性 鉴别 技术 等 。 其 次 介绍 信息 安全 技术 在 电子 商务 
中 的 应 用 。 

本 章 重 点 : 

@ 了 解 信息 安全 和 加 密 技 术 的 基本 概念 和 简单 的 密码 技术 。 

@@ 了 解 DES 和 RSA 密码 体制 。 

图 理解 数字 签名 的 基本 原理 。 

图 了 解 加 密 技术 在 电子 商务 中 的 应 用 。 

回 重点 掌握 加 密 算 法 的 种 类 、 密 钥 分 配 与 管理 方法 及 数字 签名 的 实现 过 程 。 


随 着 网 络 技术 的 飞速 发 展 ,网 络 已 经 深入 到 政府 、 军 事 、 文 教 .商业 等 诸多 领域 ,网 络 
在 给 入 们 带 来 方便 ,快捷 的 同时 ,也 带 来 了 威胁 。 计 算 机 犯罪 .黑客 有害 程 序 和 后 门 问题 
等 严重 威胁 着 网 络 的 安全 。 随 着 人 们 对 计算 机 网 络 安全 的 要 求 越 来 越 高 ,这 些 问题 已 经 
引起 了 普遍 关注 ,成 为 当今 网 络 技术 的 一 个 重要 研究 课题 。 


4.1 网 络 安全 概论 


网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 、 信 息 安全 技术 、 应 
用 数学 信息论 等 多 种 学 科 的 综合 性 学 科 。 
网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶 
意 的 原因 而 遭 到 破坏 更改、 泄露 ,确保 系统 能 连续 可 靠 运行 ,网 络 服务 不 中 断 。 网 络 安全 
从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 从 广义 上 来 说 ,凡是 涉及 网 络 上 信息 的 保密 性 、 
完整 性 、 可 用 性 和 可 控 性 的 理论 都 属于 网 络 安全 的 研究 领域 。 

(1) 保密 性 是 指 信 息 不 泄露 给 非 授权 用 户 。 

(2) 完整 性 是 指数 据 未 经 授权 不 能 进行 改变 的 特性 , 即 信息 在 存储 或 传输 过 程 中 保 
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持 不 被 修改 、 不 被 破坏 和 不 被 丢失 的 特性 。 

(3) 可 用 性 是 指 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 , 即 当 需要 时 能 显示 信息 。 
例如 ,网 络 环境 下 拒绝 服务 .破坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 性 的 攻击 。 

(4) 可 控 性 是 指 对 信息 的 传播 及 内 容 具有 控制 能 力 。 

1. 网 络 安全 内 涵 

网 络 安全 包括 物理 安全 、 系 统 安全 、 信 息 安全 和 文化 安全 ， 
网 络 安全 层次 如 图 4-1 所 示 。 

(1) 物理 安全 

物理 安全 是 指 保护 计算 机 系统 的 物理 设备 .网 络 联接 设 
备 、 存 储 介质 及 其 他 媒体 的 安全 。 对 计算 机 网 络 与 计算 机 系统 “图 4-1 网 络 安 全 层次 图 
的 物理 设备 的 威胁 ,主要 表现 为 自然 灾害 (包括 地 震 、 水 灾 、 火 灾 、 电 磁 辆 射 ) 以 及 人 为 操作 
失误 或 盗窃 等 犯罪 行为 导致 的 破坏 。 

危险 行为 : 通信 干扰 .危害 信息 的 侵入 、 信 号 辐射 .信号 替换 、 恶 劣 的 操作 环境 。 

防范 措施 : 抗 干扰 系统 、 防 辐射 系统 、 隐 身 系 统 、 加 固 系统 .数据 备份 。 

(2) 系统 安全 

系统 安全 是 指 保护 网 络 系 统 、 操 作 系 统 及 数据 库 系统 的 安全 。 系 统 安全 存在 的 威胁 
主要 表现 为 对 计算 机 网 络 与 计算 机 系统 可 用 性 与 可 控 性 进行 攻击 ,导致 网 络 及 计算 机 不 
能 正常 运行 。 

危险 行为 : 网 络 被 阻塞 .非法 使 用 资源 .计算 机 病毒 等 使 得 依赖 于 信息 系统 的 管理 或 
控制 体系 陷于 瘫痪 。 

防范 措施 : 安装 杀毒 软件 .防止 入侵、 检测 入 侵 、 攻 击 反应 、 系 统 恢复 。 

(3) 信息 安全 

信息 安全 是 指 对 计算 机 存储 介质 上 存放 的 数据 及 在 网 络 中 传输 的 数据 的 安全 保护 ， 
对 所 处 理 的 信息 机 密 性 与 完整 性 的 威胁 ,主要 表现 在 加 密 方面 。 

危险 行为 : 窃取 信息 、 算 改 信 息 、 冒 充 信息 、 信 息 抵赖 。 

防范 措施 : 加 密 、 完 整 性 技术 、 认 证 .数字 签名 。 

(4) 文化 安全 

文化 安全 是 指 防止 有 害 信 息 的 传播 对 我 国 的 政治 制度 及 传统 文化 的 威胁 ,主要 表现 
在 熏 论 宣传 方面 .防止 和 控制 非法 .有害 的 信息 进行 传播 .避免 公用 通信 网 络 上 大 量 自由 
传输 的 信息 失控 。 

危险 行为 : 淫秽 暴力 信息 泛滥 、 敌 对 的 意识 形态 信息 涌 入 、 英 语文 化 的 “ 泛 洪 现象 "对 
民族 文化 的 冲击 ,互联 网 被 利用 作为 串联 工具 ,传播 迅速 .影响 范围 广 。 

防范 措施 : 设置 网 关 、 监 测 、 控 管 。 

2. 网 络 系统 安全 领域 存在 的 威胁 

(1) 操作 系统 太 脆 弱 .容易 受 攻击 。 使 用 网 络 离 不 开 操作 系统 ,操作 系统 是 手工 编写 
的 ,就 可 能 存在 漏洞 ,有 很 多 网 络 攻击 方式 都 是 针对 操作 系统 的 漏洞 .入 侵 计算 机 来 窃取 
有 用 信息 或 阻碍 网 络 信息 传输 。 

(2) 系统 被 攻击 时 很 难 及 时 发 现 和 制止 。 网 络 上 的 攻击 方式 一 般 都 是 比较 隐 项 的， 
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攻击 者 入 侵 计算 机 后 造成 的 影响 可 能 不 会 马上 表现 出 来 。 例 如 ,攻击 者 可 能 会 把 计算 机 
病毒 放 和 被 攻击 的 计算 机 中 ,在 很 短 的 时 间 里 大 量 复制 .感染 文件 ,等 待 病毒 发 作 。 当 被 
攻击 者 发 现 系统 变 慢 ,文件 丢失 ,甚至 系统 不 能 正常 启动 时 ,为 时 已 晚 。 

(3) 有 组 织 有 计划 的 人 侵 无 论 在 数量 上 还 是 在 质量 上 都 呈现 快速 增长 趋势 。 早 期 的 
计算 机 入 侵 主 要 是 编程 高 手 为 了 显示 自己 的 水 平 或 者 证 明 程 序 的 痊 端 ,基本 上 都 是 个 人 
行为 。 而 现在 的 人 侵 比 较 多 的 是 出 于 商业 或 政治 上 的 原因 ,有 组 织 有 计划 的 入 侵 可 以 集 
中 攻击 力量 ,加 速 信 侵 的 速度 ,以 在 更 短 的 时 间 内 造成 更 大 的 损失 或 者 获得 更 多 的 信息 。 

(4) 在 规模 和 复杂 程度 上 不 断 扩 展 网 络 而 很 少 考虑 其 安全 状况 的 变化 情况 。 网 络 现 
在 已 经 渗透 到 各 行 各 业 ,很 多 行业 对 网 络 的 使 用 只 考虑 方便 性 .开放 性 ,并 没有 考虑 总 体 
安全 构想 ,或 对 网 络 安全 没有 足够 重视 。 应 该 按 网 络 的 规模 和 网 络 中 数据 的 重要 性 来 设 
置 网 络 的 安全 模式 和 等 级 。 

3. 网 络 安全 中 的 主要 技术 

网 络 在 现代 工作 生活 中 扮演 了 重要 的 角色 ,改变 了 人 们 的 工作 方式 ,加 快 了 人 们 的 工 
作 效 率 。 正 是 因为 网 络 的 重要 性 ,所 以 针对 网 络 的 攻击 手段 随 着 网 络 技术 的 发 展 也 在 不 
断 地 发 展 。 在 网 络 中 采用 哪些 技术 机 制 才能 维护 网 络 的 安全 呢 ? 

(1) 加 密 技术 

加 密 是 提供 信息 保密 的 最 核心 .最 有 效 的 方法 。 通 常 按照 密 钥 的 类 型 不 同 , 加 密 算法 
可 分 为 对 称 密 钥 算法 和 非 对 称 密 钥 算法 两 种 。 加 密 算法 除了 实现 信息 的 保密 性 之 外 ,还 
可 以 和 其 他 技术 结合 ,例如 hash 函数 ,实现 信息 的 完整 性 的 检验 。 

加 密 技术 不 仅 应 用 于 数据 通信 和 存储 ,也 应 用 于 程序 的 运行 ,通过 对 运行 的 程序 实行 
加 密 保护 ,可 以 防止 软件 被 非法 复制 .防止 软件 的 安全 机 制 被 破坏 。 例 如 利用 一 些 加 壳 软 
件 , 为 应 用 程序 加 上 一 个 外 壳 , 让 软件 不 能 被 轻易 盗版 或 复制 。 

(2) 访问 控制 技术 

访问 控制 机 制 是 控制 进入 系统 的 用 户 对 系统 资源 的 使 用 范围 和 访问 形式 ,可 以 防止 
未 经 授权 的 用 户 非法 使 用 系统 资源 ,这 种 访问 控制 机 制 不 仅 可 以 提供 给 单个 用 户 , 也 可 以 
提供 给 用 户 组 的 所 有 用 户 。 访 问 控制 是 通过 检查 访问 者 的 有 关 信 息 来 限制 或 禁止 访问 者 
使 用 资源 的 技术 ,分 为 低层 访问 控制 和 高 层 访问 控制 。 低 层 访问 控制 是 指 通 过 对 通信 协 
议 中 的 某 些 特征 信息 的 识别 和 判断 ,来 禁止 或 允许 用 户 访问 的 措施 。 例 如 ,在 路 由 器 上 设 
置 过 滤 规 则 对 数据 包 过 滤 就 属于 低层 访问 控制 。 高 层 访问 控制 包括 身份 认证 和 权限 确 
认 , 是 通过 对 用 户口 令 、 用 户 权限 、 资 源 属 性 的 检查 和 对 比 来 实现 的 。 

(3) 数据 完整 性 鉴别 技术 

数据 完整 性 是 指数 据 是 可 靠 准确 的 ,用 来 泛 指 与 损坏 和 丢失 相对 的 数据 状态 。 鉴 别 
是 对 信息 进行 处 理 的 人 的 身份 和 相关 数据 内 容 进 行 验 证 .达到 信息 正确 有效 和 一 致 的 要 
求 。 一 般 包括 口令 、 密 钥 、 身 份 . 数 据 等 项 的 鉴别 ,系统 通过 对 比 验证 输入 的 数据 是 否 符 合 
预先 设 定 的 参数 ,从 而 实现 对 数据 的 安全 保护 。 这 种 鉴别 技术 主要 应 用 于 数据 库 管理 系 
统 中 ,因为 企业 经 营 的 重要 数据 都 应 该 保存 在 一 个 可 靠 的 系统 中 ,所 以 保护 好 企业 数据 库 
的 安全 是 非常 重要 的 工作 。 数 据 库 系统 可 以 根据 不 同 用 户 设 置 不 同 的 访问 权限 ,并 对 其 
身份 及 权限 的 完整 性 进行 严格 识别 。 


第 4 章 信息 安全 


(4) 身份 验证 技术 

身份 验证 是 系统 验证 用 户 是 否 是 合法 身份 的 过 程 。 身 份 验证 包括 两 种 : 数字 签名 机 
制 和 Kerberos 系统 。 

QO 数字 签名 机 制 

数字 签名 机 制 一 般 采 用 不 对 称 加 密 技 术 ( 后 面 会 详细 介绍 ) 。 数 字 签 名 可 以 解决 4 种 
安全 问题 。 

。 否认 : 事后 发 送 者 不 承认 文件 是 他 发 送 的 。 

。 伪造 : 有 人 自己 伪造 了 一 份 文件 , 却 声 称 是 某 人 发 送 的 。 

。 冒充 : 冒充 别人 的 身份 在 网 上 发 送 文件 。 

。 算 改 : 接收 者 私自 算 改 文件 的 内 容 。 

数字 签名 机 制 具 有 可 证 实 性 、 不 可 否认 性 、 不 可 伪造 性 和 不 可 重用 性 。 数 字 签 名 普遍 
用 于 银行 .电子 商务 等 系统 的 身份 验证 。 

@ Kerberos 系统 

Kerberos 系统 是 美国 麻 省 理工 学 院 为 分 布 式 计算 机 环境 提供 的 一 种 对 用 户 双 方 进 
行 身份 验证 的 方法 。Kerberos 系统 的 安全 机 制 对 发 出 请 求 的 用 户 进行 身份 验证 ,确认 其 
是 否 是 合法 的 用 户 ,如 果 是 合法 的 用 户 ,再 审核 该 用 户 是 否 有 权 对 他 所 请 求 的 服务 或 主机 
进行 访问 ,其 身份 是 建立 在 对 称 加 密 的 基础 上 的 。 

(5) 网 络 防 病毒 技术 

在 网 络 开放 的 环境 下 ,计算 机 病毒 发 展 越 来 越 快 ,并 且 病 毒 种 类 越 来 越 多 ,也 越 来 
越 高 级 复杂 ,对 计算 机 和 网 络 构 成 了 巨大 的 威胁 。 例 如 ,著名 的 CIH 病毒 让 全 世界 近 
6000 万 台 计 算 机 崩溃 ,由 它 直接 或 间接 造成 的 损失 达 数 亿美 元 ,给 社会 造成 灾难 性 的 后 
果 , 因 此 要 重视 计算 机 病毒 的 防治 。 网 络 防 病毒 技术 主要 包括 预防 病毒 .检测 病毒 和 清除 
病毒 ,具体 实现 的 方法 包括 对 网 络 服务 器 中 的 文件 进行 频繁 地 扫描 和 监测 ,在 工作 站 上 采 
用 防 病毒 芯片 和 对 网 络 目录 及 文件 设置 访问 权限 等 。 

(6) 防火 墙 技术 

防火 墙 是 一 个 或 一 组 网 络 设备 ,包括 硬件 和 软件 ,在 两 个 或 多 个 网 络 间 保 护 一 个 网 络 
不 被 另 一 个 网 络 攻击 的 安全 技术 。 防 火 墙 通常 位 于 内 部 网 或 Web 站 点 与 因特网 之 间 的 
一 个 路 由 器 或 一 台 计算 机 上 。 防 火 墙 就 如 同一 个 防盗 门 ,保证 门 内 的 系统 安全 。 在 因 特 
网 上 ,通过 防火 墙 来 隔离 风险 区 域 与 安全 区 域 的 连接 ,但 不 妨碍 人 们 对 风险 区 域 的 访问 。 
防火 墙 可 以 监控 进出 网 络 的 通信 数据 , 仅 让 安全 、 核 准 的 信息 进入 .抵制 对 企业 构成 威胁 
的 数据 进入 。 

防火 墙 的 主要 技术 包括 数据 包 过滤 和 应 用 代理 服务 。 

虽然 防火 墙 技术 能 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 道 安全 屏障 ,但 也 存在 一 定 的 
局 限 性 。 防 火 墙 不 能 完全 防范 外 部 刻意 的 人 为 攻击 ,不 能 防范 内 部 用 户 攻击 ,不 能 防止 病 
毒 或 受 病毒 感染 的 文件 的 传输 。 

(7) 入 侵 检测 技术 

入 侵 检测 CIDS) 通 过 对 计算 机 网 络 或 计算 机 系统 中 若干 关键 点 收集 信息 .并 对 其 进 
行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 
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是 防火 墙 的 补充 。 作 为 网 络 安 全 核心 技术 之 一 ,入 侵 检 测 技术 可 以 缓解 访问 隐患 ,弥补 防 
火 墙 的 不 足 ,将 网 络 安 全 的 各 个 环节 有 机 结合 起 来 ,实现 对 用 户 网 络 安全 的 保护 。 


4.2 ”加 密 技术 


为 什么 要 对 数据 加 密 呢 ? 对 哪些 数据 加 密 呢 ?怎样 对 这 些 数据 加 密 ? 这 些 都 是 在 网 
络 传输 数据 时 需要 知道 的 问题 。 存 放 在 计算 机 系统 中 的 数据 每 时 每 刻 都 受到 来 自 各 个 方 
面 的 威胁 。 这 些 威胁 轻 则 会 破坏 数据 的 完整 性 , 重 则 导致 数据 完全 不 可 用 。 数 据 一 旦 遭 
到 破坏 ,给 数据 拥有 者 带 来 的 损失 是 无 法 估量 的 。 有 没有 一 种 方法 能 够 较 好 地 保护 数据 ， 
使 其 即使 遭 到 攻击 也 能 将 损失 限制 在 最 小 范围 内 呢 ? 

数据 加 密 和 数据 备份 就 是 实现 这 个 目标 的 两 种 最 常用 也 是 最 重要 的 手段 。 前 者 通过 
使 原本 清晰 的 数据 变 得 星 涩 难 懂 , 从 而 实现 对 数据 的 保护 。 而 后 者 则 在 数据 遭 到 破坏 后 ， 
将 数据 恢复 到 最 近 的 一 个 备份 点 来 尽 可 能 减少 数据 遭 破坏 的 程度 。 在 数据 备份 的 过 程 
中 ,数据 压缩 是 一 项 非常 有 用 的 技术 , 它 能 够 在 不 影响 数据 可 用 性 和 正确 性 的 前 提 下 大 大 
减少 数据 所 占用 的 磁盘 空间 。 

几乎 任何 网 络 电缆 都 可 能 被 窃听 或 监听 ,攻击 者 可 利用 一 些 网 络 监 听 程 序 或 设备 截 
取 敏 感 数据 包 或 其 他 敏感 数据 包 的 备份 。 假 设 所 有 经 过 网 络 传输 的 信息 在 传输 前 均 被 自 
动 地 加 密 , 则 攻击 者 将 不 能 完成 窃听 ,网 络 分 析 程 序 收集 到 的 数据 包 是 已 加 密 的 数据 。 如 
果 没 有 解密 密 钥 ,攻击 者 不 能 解释 该 数据 ,也 就 不 能 知道 数据 里 所 包含 的 真实 信息 。 例 
如 ,利用 加 密 板 或 调制 解 调 器 之 类 的 硬件 ,或 是 利用 位 于 该 传输 的 两 个 合法 末端 的 软件 执 
行 加 密 或 解密 。 

大 多 数 用 户 工 作 的 PC 机 都 与 网 络 相连 ,计算 机 里 包含 了 某 些 攻击 者 很 想得到 的 存 
储 宝藏 (比如 某 公司 的 销售 计划 、 财 务 报表 或 相关 商业 机 密 等 ) 的 硬 磁盘 。 通 过 网 络 对 该 
PC 机 的 访问 几乎 是 不 可 阻止 的 。 解 决 办 法 是 将 所 有 存储 于 硬 磁 盘 及 办 公 室 中 的 软磁盘 
上 的 敏感 文件 加 密 。 

加 密 技术 是 网 络 信息 安全 主动 的 .开放 型 的 防范 手段 ,对 于 敏感 的 ,重要 的 数据 应 采 
用 加 密 处 理 ,并 且 在 数据 传输 时 也 应 采用 加 密 传输 。 本 节 将 着 重 介绍 信息 加 密 技术 的 一 
般 方法 。 


421 数据 加 密 基本 概念 


数据 加 密 , 就 是 把 原本 能 够 读 懂 、 理 解 和 识别 的 信息 (这 些 信息 可 以 是 语音 、 文 字 、 图 
像 和 符号 等 ) 通 过 一 定 的 方法 进行 处 理 , 使 之 成 为 一 些 上 涩 难 懂 的 、 不 能 很 轻易 明白 其 真 
正 含意 的 或 者 是 偏离 信息 原意 的 信息 ,从 而 保障 信息 的 安全 。 

下 面 介绍 与 数据 加 密 概 念 相关 的 几 个 重要 的 术语 。 

(1) 明文 (Plaintext, 记 为 P) 是 信息 的 原始 形式 ,也 就 是 加 密 前 的 原始 信息 。 明 文 可 
以 是 文本 ,数字 化 语音 流 或 数字 化 视频 信息 等 。 

(2) 密 文 (Ciphertext, 记 为 C) 是 通过 数据 加 密 的 手段 ,将 明文 变换 成 的 上 涩 难 懂 的 信息 。 

(3) 加 密 过 程 (Encryption, 记 为 卫 ) 是 将 明文 转变 成 密 文 的 过 程 。 用 于 加 密 的 这 种 数 
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据 变换 称 为 加 密 算法 。 29 
(4) 解密 过 程 (Dryption, 记 为 D) 是 加 密 的 逆 过 程 , 即 将 密 文 转 变 成 明文 的 过 程 。 
(5) 加 密 过 程 和 解密 过 程 需要 遵循 的 一 个 重要 原则 是 明文 与 密 文 的 相互 变换 是 可 逆 
变换 ,并 且 是 惟一 的 、 无 误差 的 可 逆 变 换 。 加 密 和 人 解密 是 两 个 相反 的 数学 变换 过 程 ,都 是 
用 一 定 的 算法 实现 的 。 
(6) 密码 体制 。 加 密 和 解密 过 程 都 是 通过 特定 的 算法 来 实现 的 ,这 一 算法 称 为 密码 体制 。 
(7) 密 钥 (Key) 是 由 使 用 密码 体制 的 用 户 随 机 选取 的 、 惟 一 能 控制 明文 与 密 文 之 间 变 
换 的 关键 参数 。 密 钥 通 常 是 一 随机 字符 串 。 
数据 加 密 和 解密 的 过 程 如 图 4-2 所 示 。 


加 密 算法 
通过 网 
络 传输 
明文 密 文 [二 二 二 二 二 二 ] 密 文 
加 密 密 钥 解密 密 钥 


4-2 数据 加 密 、 解 密 过 程 示意 图 
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随 着 数据 加 密 技 术 的 发 展 .根据 数据 加 密 的 方式 ,可 以 将 密码 技术 分 为 对 称 数据 加 密 
技术 和 非 对 称 数据 加 密 技术 。 

对 称 加密 又 称 为 密 钥 加 密 是 指 加 密 和 解密 过 程 均 采用 同一 把 秘密 钥匙 。 通 信 时 双 
方 都 必须 具备 这 把 钥匙 ,并 保证 这 把 钥匙 不 被 泄漏 。 一 旦 密 钥 泄漏 ,获得 密 钥 的 人 就 可 以 
利用 这 把 钥 是 加密 或 解密 ,原来 加 密 过 的 密 文 就 不 具有 任何 保密 性 了 。 所 以 对 称 密 钥 加 
密 技术 的 关键 就 是 要 保存 好 密 钥 。 

通信 双方 采用 对 称 加 密 技术 进行 通信 前 .双方 必须 先 商 定 一 个 密 钥 ,这 种 商定 密 钥 的 
过 程 称 为 分 发 密 钥 。 发 送 方 使 用 这 一 密 钥 ,并 采用 合适 的 加 密 算法 将 所 要 发 送 的 明文 转变 
为 密 文 ,然后 在 网 络 中 传送 给 接收 方 . 密 文 到 达 接 收 方 后 ,接收 方 用 解密 算法 (通常 是 发 送 方 
所 使 用 的 加 密 算 法 的 逆 运 算 ) ,利用 双方 约定 的 密 钥 将 密 文 转变 为 与 发 送 方 一 致 的 明文 。 

采用 对 称 加 密 技 术 进行 通信 的 过 程 如 图 4-3 所 示 。 


加 密 算法 


二 | 密 文 


明文 


图 4-3 对称 加 密 算法 模型 
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1. 传统 的 加 密 技 术 

(1) 替换 密码 技术 

替换 密码 技术 是 将 明文 字母 表 中 的 每 个 字符 替换 为 密 文 字母 表 中 的 字符 ,以 达到 隐 
藏 明文 的 目的 。 发 送 者 将 明文 中 每 一 个 字符 按照 一 定 规律 替换 成 密 文中 的 另外 一 个 字 
符 。 接 收 者 对 接收 到 的 密 文 进 行道 蔡 换 得 到 明文 。 下 面 介 绍 两 种 常用 的 替换 密码 算法 : 
单 表 替换 密码 和 多 表 蔡 换 密码 。 

OO 单 表 蔡 换 技术 

如 果 在 蔡 换 的 过 程 中 明文 的 一 个 字符 用 固定 的 一 个 密 文 字符 代替 ,就 称 为 单 表 替 换 
技术 。 最 古老 的 单 表 蔡 换 密码 大 约 出 现在 公元 前 50 年 ,是 由 罗马 皇帝 朱利叶 。 恺 撒 发 明 
的 一 种 用 于 战 时 秘密 通信 的 方法 ,这 种 被 称 为 恺 撤 密码 的 技术 将 字母 按 字 母 表 的 顺序 排 
列 , 并 将 最 后 一 个 字母 和 第 一 个 字母 相连 起 来 构成 一 个 循环 字母 表 序 列 ,明文 中 的 每 个 字 
母 用 该 序列 中 在 它 后 面 的 第 三 个 字母 来 代替 ,由 此 形成 密 文 ,这 种 密码 也 称 为 循环 移 位 密 
码 。 恺 撤 密码 中 26 个 英文 字母 的 映射 关系 如 表 4-1 所 示 。 


表 4-1 恺 撤 密 码 中 26 个 英文 字母 映射 表 


明文 字母 a "| br | | | f |g | h i j k 1 m 
密 文字 母 Db |'E F | G | H | . K LIMIN O P 
明文 字母 n o p q r s t u v w x y 也 
密 文字 母 全 -| 晤 .| 让 下 可 小 芝 | 本 | 王 下 这 外 法 B C 


这 种 映射 关系 可 以 用 如 下 函数 来 表示 : 
F(P) = (P+k)modn 

其 中 ,P 表示 明文 字母 ; 

nn 表示 字符 集中 字母 个 数 ; 

上 表示 密 钥 0。 

例如 ,明文 P=HOW ARE YOU,k 二 3, 则 有 : 

F(H)=(8+3)mod 26 一 11 一 K; 

F(O) 一 (15 十 3) mod 26 一 18 一 R; 


F(U) 一 (21 十 3) mod 26 一 24 一 X; 

可 以 得 到 的 密 文 为 : KRZDUHBRX。 

对 于 恺 撤 密码 :解密 的 方法 非常 简单 ,只 要 依据 表 中 的 密 文 字母 和 明文 字母 的 对 应 关 
系 , 从 密 文字 母 找 出 相应 的 明文 字母 即 可 。 恺 撒 密 码 是 很 容易 被 破解 的 ,最 多 进行 25 次 
尝试 就 可 以 得 到 破解 后 的 明文 。 由 此 可 见 ,这 种 加 密 算 法 的 安全 性 很 差 。 

为 了 提高 加 密 算法 的 安全 性 ,可 以 将 明文 字母 和 密 文字 母 的 映射 关系 复杂 化 ,将 字母 
表 的 顺序 打 乱 ,使 字母 之 间 的 映射 关系 没有 规律 ,即将 整个 字母 表 的 26 个 字母 随意 映射 
到 其 他 字母 上 。 这 种 改进 后 的 单 表 加 密 算法 请 大 家 自己 分 析 , 看 看 是 否 能 提高 破解 的 难 
度 , 增 加 加 密 的 安全 性 。 

在 明文 中 英文 字母 出 现 的 频率 是 有 一 定 分 布 规律 的 ,即使 打 乱 了 字母 表 中 的 顺序 , 仍 
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可 根据 自然 语言 的 统计 特性 分 析 得 到 密 文 和 明文 中 的 对 应 关系 。 例 如 ,在 英语 中 最 常用 
的 字母 是 e, 其 次 是 t, 再 其 次 是 a、o、n、i。 破 译 这 种 密 文 的 方法 是 先 计算 密 文中 所 有 字母 
出 现 的 相对 频率 ,并 暂时 假定 一 个 出 现 最 多 的 字母 为 e. 其 次 是 t, 然 后 寻找 形 如 tXe 结构 
最 多 出 现 的 三 字母 组 合 ,假设 tXe 是 英文 中 经 常 出 现 的 定 冠 词 the, 则 X 即 为 h。 依 此 类 
推 ,假如 thYt 型 的 结构 也 频繁 出 现 . 则 可 能 Y 是 a。 根据 这 个 方法 ,还 可 找到 一 个 形 如 
aZW 结构 的 频繁 出 现 的 三 字母 组 合 , 其 相当 大 的 可 能 就 是 and。 根 据 这 种 假设 和 判断 ,能 
初步 构成 一 个 试探 性 明文 。 
因此 , 单 表 蔡 换 密码 技术 的 安全 性 是 比较 低 的 ,为 防止 密码 被 破译 .必须 使 密 文 中 各 
字母 出 现 的 频率 趋 于 平均 。 如 果 采 用 多 表 替 换 的 密码 技术 ,由 于 明文 中 的 同一 个 字符 在 
密 文 中 可 以 表现 为 多 种 字符 ,所 以 在 密 文 中 消除 了 明文 字母 出 现 频率 的 规律 ,大 大 提高 了 
加 密 的 安全 性 。 

@ 多 表 蔡 换 技 术 

多 表 蔡 换 技 术 是 由 多 个 简单 代替 表 组 成 。 周 期 替代 密码 是 一 种 常用 的 多 表 替 代 密 
码 , 又 称 为 维 吉 尼 亚 (Vignere) 密 码 , 这 种 替代 密码 是 循环 地 使 用 有 限 个 字母 来 实现 替代 
的 一 种 方法 。 若 明文 信息 为 ptpzps…pn* 采 用 m 个 字母 的 序列 ki ksks …kw 来 实现 替换 ， 
那么 ,pi 将 根据 字母 ki 的 特性 来 替换 ,p* 将 根据 字母 ks 的 特性 来 替换 …… pn 将 根据 字 
母 kw 的 特性 来 替换 ,pny 又 将 根据 字母 ki 的 特性 来 替换 ,poo) 将 根据 字母 ks 的 特性 
来 蔡 换 …… 可 用 函数 表示 为 : 


fla) = (pihki)mod(n) 
其 中 ,字母 序列 kkk;…k, 就 是 加 密 的 密 钥 。 
这 种 加 密 技术 的 加 密 表 是 把 26 个 英文 字母 进行 循环 移 位 后 排列 在 一 起 ,形成 26 xX 26 
的 方 阵 ,该 方 阵 被 称 为 维 吉 尼 亚 表 。 实 际 应 用 时 ,往往 把 某 个 容易 记忆 的 词组 当 作 密 钥 。 
维 吉 尼 亚 表 如 表 4-2 所 示 。 
表 4-2 维 吉 尼 亚 表 


行 列 ABCDEFGHIJKLMNOPQRSTUVWXYZ 行 列 ABCDEFGHIJKLMNOPQRSTUVWXYZ 
A ABCDEFGHIJKLMNOPQRSTUVWXYZ N NOPQRSTUVWXYZABCDEFGHIKLM 
B BCDEFGHIJKLMNOPQRSTUVWXYZA O OPQRSTUVWXYZABCDEFGHIJKLMN 
C CDEFGHUJKLMNOPQRSTUVWXYZAB P PQRSTUVWXYZABCDEFGHIJKLMNO 
D | DEFGHUKLMNOPQRSTUVWXYZABC Q QRSTUVWXYZABCDEFGHIJKLMNOP 
E EFGHIJKLMNOPQRSTUVWXYZABCD R RSTUVWXYZABCDEFGHIJKLMNOPQ 
F FGHIJKLMNOPQRSTUVWXYZABCDE S STUVWXYZABCDEFGHIJKLMNOPQR 
G GHIJKLMNOPQRSTUVWXYZABCDEF TUVWXYZABCDEFGHIJKLMNOPQRS 
H HUJKLMNOPQRSTUVWXYZABCDEFG U UVWXYZABCDEFGHIJKLMNOPQRST 
I JJKLMNOPQRSTUVWXYZABCDEFGH 村 VWXYZABCDEFGHIJKLMNOPQRSTU 
J JKLMNOPQRSTUVWXYZABCDEFGHI | W | WXYZABCDEFGHIJKLMNOPQRSTUV 
K KLMNOPQRSTUVWXYZABCDEFGHIJ X XYZABCDEFGHIJKLMNOPQRSTUVW 
L LMNOPQRSTUVWXYZABCDEFGHIUJK 党 YZABCDEFGHHUKLMNOPQRSTUVWX 
M | MNOPQRSTUVWXYZABCDEFGHIJKL Zz ZABCDEFGHIJKLMNOPQRSTUVWXY 
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例如 ,使 用 维 吉 尼 亚 密码 加 密 明 文 HOW ARE YOU ,使 用 的 密 钥 为 KEY, 加 密 过 程 
如 下 : 给 一 个 信息 加 密 时 ,只 要 把 密 钥 反复 写 在 明文 下 而 ,每 个 明文 字母 下 而 对 应 的 密 钥 
字母 就 说 明 该 明文 字母 应 该 用 维 吉 尼 亚 表 的 哪 一 行进 行 加 密 。 

明文 : HOW ARE YOU 

密 钥 : KEY KEY KEY 

密 文 : RSU KVC ISS 

解密 时 ,以 密 钥 字母 选择 哪 一 行 ,从 这 一 行 中 找到 密 文字 母 ,那么 密 文 字母 所 在 的 列 
对 应 的 就 是 明文 字母 了 。 

多 表 替 换 密码 技术 解决 了 单 表 替换 密码 技术 中 的 不 安全 性 。 对 于 同一 个 明文 字母 ， 
由 于 对 应 的 密 钥 字 母 不 同 ,将 得 到 不 同 的 密 文 字母 .这样 就 在 密 文中 消除 了 明文 字母 出 现 
频率 的 规律 了 。 但 多 表 替 换 密 码 也 不 是 万 无 一 失 的 ,只 要 密码 分 析 员 拥有 足够 数量 的 密 
文 样本 ,这 个 算法 还 是 可 以 破译 的 ,通常 可 以 增加 密 钥 的 长 度 来 增加 破译 的 难度 。 

(2) 置换 密码 技术 

替换 密码 技术 是 通过 替换 明文 中 的 字母 来 达到 隐藏 真实 信息 的 目的 。 置 换 密码 技术 
是 通过 改变 明文 字母 的 排列 次 序 来 达到 加 密 的 目的 , 它 把 明文 中 的 字母 重新 排列 ,字母 本 
身 不 变 , 但 位 置 变 了 。 例 如 ,把 明文 中 字母 的 顺序 倒 过 来 写 ,然后 以 固定 长 度 的 字母 组 发 
送 或 记录 。 

明文 : HOW ARE YOU 

密 文 : UOY ERA WOH 

最 常用 的 换 位 密码 是 列 换 位 密码 。 下 面 来 详细 说 明 列 换 位 密码 的 工作 原理 。 列 换 位 
加 密 算法 中 ,将 明文 按 行 排列 到 一 个 和 矩阵 中 (矩阵 的 列 数 等 于 密 钥 字母 的 个 数 , 行 数 以 够 
用 为 准 , 如 果 最 后 一 行 不 全 可 以 用 不 常 使 用 的 字符 如 X 等 填 满 ) ,然后 再 按照 密 钥 各 个 字 
母 大 小 的 顺序 排出 列 号 ,以 列 的 顺序 将 矩阵 中 的 字母 读 出 ,就 构成 了 密 文 。 

密 钥 : 4312567 

明文 : CAN YOU UNDERSTAND 

上 述 明 文 的 列 换 位 加 密 演示 如 表 4-3 所 示 。 


表 4-3 列 换 位 加 密 算法 演示 


密 钥 4 3 1 3 6 人 
e A N 区 O U U 
明文 N D E R S T A 
N D Xx 其 XxX 


从 上 面 的 矩阵 中 ,按照 密 钥 4312567 的 列 顺序 . 按 列 写 出 该 矩阵 中 的 字母 。 先 
从 第 1 列 中 得 到 NEX, 从 第 2 列 中 得 到 YRX. 以 此 类 推 ,得 到 的 密 文 为 : 
NEXYRXADDCNNOSXUTXUAX。 

纯 置 换 密码 易于 识别 ,因为 它 具 有 与 原 明 文 相同 的 字母 频率 。 对 于 刚才 显示 的 列 变 
换 的 类 型 ,密码 分 析 相 当 直 接 , 将 这 些 密 文 排列 在 一 个 矩阵 中 ,并 依次 改变 行 的 位 量 。 双 
字母 组 和 三 字母 组 频率 表 能 够 派 上 用 场 。 
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通过 执行 多 次 置换 .置换 密码 的 安全 性 能 够 有 较 大 改观 ,其 结果 是 使 用 更 为 复杂 131] 
的 排列 , 它 不 容易 被 重 构 。 因 此 ,如 果 前 述 消息 使 用 相同 的 算法 重 加 密 , 则 如 表 4-4 
所 示 。 


表 4-4 二 次 列 换 位 加 密 算法 演示 


密 钥 4 a 下 2 时 6 7 
N E EE 显 R R A 
明文 D D C N N O S 
泪 U 加 XxX 填 A 芯 


密 文 : XCTYNXEDUNDXRNUXOAASX 

为 了 观察 这 种 双重 置换 的 结果 .用 原 明 文 消息 中 的 字母 所 在 的 位 置 来 指定 该 字母 。 
在 该 消息 中 有 21 个 字母 CAN YOU UNDERSTANDXXXXX, 传 输 的 字母 顺序 是 : 

01 02 03 04 05 06 07 

08 09 10 11 12 13 14 
5 16 17 18 19 20 21 
在 进行 第 一 次 置换 后 ,得 到 : NEXYRXADDCNNOSXUTXUAX 
03 10 17 04 11 18 02 
09 16 01 08 15 05 12 
9 06 13 20 07 14 21 
它 仍 有 某 些 规律 的 结构 。 但 在 第 二 次 变换 后 ,得 到 : XCTYNXEDUNDXRNUXOAASX 
7 04 10 03 和 18 02 
01 08 16 09 15 05 12 
3 20 06 19 07 14 21 

此 时 结构 性 的 排列 少 得 多 ,密码 分 析 也 难得 多 。 

2. 现代 对 称 加 密 算法 DES 

(1) DES 算法 及 其 基本 原理 

传统 的 加 密 方法 都 要 求 加 密 算法 和 密 钥 严格 保密 ,这 不 利于 用 计算 机 来 实现 对 信息 
的 加 密 , 因 为 对 每 个 加 密 算法 都 需要 编写 处 理 程序 ,并 且 该 程序 必须 保密 ,为 此 提出 了 数 
据 加 密 处 理 算法 标准 化 的 问题 。 数 据 加 密 标准 (Data Encryption Standard, DES) 是 美国 
国家 标准 局 研究 的 除 国防 部 以 外 的 其 他 部 门 的 计算 机 系统 的 数据 加 密 标准 。 虽 然 从 
DES 出 现 后 又 产生 了 许多 加 密 算法 .但 DES 仍然 是 对 称 加 密 算法 中 广泛 使 用 和 流行 的 
一 种 加 密 算法 。 

DES 与 传统 的 密码 技术 的 基本 原理 一 样 ,其 密 钥 是 保密 的 ,但 加 密 算法 是 可 以 公开 
的 。 传 统 的 加 密 技术 一 般 采用 简单 的 算法 并 依靠 长 密 钥 ,而 现代 的 加 密 技术 其 密码 算法 
十 分 复杂 ,即使 破译 者 得 到 算法 没有 密 钥 也 几乎 不 能 破译 。DES 是 一 个 分 组 加 密 算法 ， 
采用 两 种 基本 加 密 组 块 替代 和 换 位 这 些 技术 .通过 反复 应 用 来 提高 加 密 算法 的 安全 性 ,经 
过 总 共 16 轮 的 替代 和 换 位 后 ,使 密码 分 析 者 无 法 获得 该 算法 一 般 特 性 以 外 更 多 的 信 
息 。DES 以 64 位 数据 为 分 组 单位 对 数据 加 密 ,64 位 一 组 的 明文 从 算法 的 一 端 输 入 ， 
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64 位 的 密 文 从 另 一 端 输出 。DES 是 一 个 对 称 算法 ,加 密 和 解密 用 的 是 同一 算法 ( 除 密 
钥 编 排 的 顺序 不 同 以 外 )。 密 钥 通 常 为 64 位 数 ,但 每 个 数 有 8 位 都 用 作 奇 偶 校 验 , 可 以 
忽略 。 密 钥 可 以 是 任意 的 56 位 的 数 , 且 可 在 任意 时 候 改 变 。 

DES 加 密 算法 如 图 4-4 所 示 ,64 位 数据 经 初始 变换 后 被 


置换 。64 位 密 钥 去 掉 其 第 8、16、24、…、64 位 后 压缩 至 56 位 下 

(去 掉 的 那些 位 被 视 为 奇偶 校 验 位 ,不 含 密 钥 信 息 ) ,然后 就 开 人 

始 各 轮 运算 。64 位 数据 经 过 初始 置换 后 被 分 为 左 、 右 各 TI 

32 位 。56 位 的 密 钥 经 过 左 移 若 干 位 和 置换 后 取出 48 位 密 钥 1 二 拔 代 王 换 

子 集 供 不 同 的 加 密 迭 代 使 用 ,用 作 加 密 的 密 钥 子 集 记 为 ll 

K(1).K(2)、*… .K(16)。 末 置 换 
在 每 一 轮 迭 代 过 程 中 , 先 通过 重复 某 些 位 将 32 位 的 右 半 上 

部 分 数据 扩展 为 48 位 ,然后 用 密 钥 子 集中 的 一 个 子 密 钥 K(i) 


与 数据 的 右 半 部 分 进行 异 或 运算 ,得 到 的 48 位 数 通过 S 盒 压 4-4 ”DES 加 密 算法 
缩 为 32 位 。 然 后 再 与 数据 的 左 半 部 分 的 32 位 相 异 或 ,其 结 
果 作 为 这 一 轮 迭 代 的 输出 数据 的 右 半 部 分 ; 结合 前 的 右 半 部 分 作为 这 一 轮 迭 代 的 输出 数 
据 的 左 半 部 分 。 这 一 轮 输 出 的 64 位 数据 结果 作为 下 一 轮 的 待 加 密 数据 ,这 种 迭代 要 重复 
16 次 。 但 最 后 一 轮 加 密 和 迭代 之 后 ,进行 着 初始 置换 运算 , 它 是 初始 置换 的 逆 运 算 , 最 后 得 
到 64 位 密 文 。 

(2) DES 解密 

DES 算法 的 解密 算法 与 加 密 算法 可 使 用 相同 的 算法 ,二 者 的 惟一 不 同 之 处 是 密 钥 的 
次 序 相反 。 如 果 各 轮 加 密 密 钥 分 别 是 Kl1、K2、K3、…、K16, 那 么 解密 密 钥 就 是 K16、K15、 
K14、…、K1。 为 各 轮 产 生 密 钥 的 算法 也 是 循环 的 。 

(3) DES 算法 的 安全 性 分 析 

DES 算法 是 公开 的 ,其 安全 性 完全 取决 于 密 钥 的 安全 性 。 在 该 算法 中 ,由 于 经 过 了 
16 轮 的 代替 置换、 异 或 和 循环 移动 后 .使 得 密码 的 分 析 者 无 法 通过 密 文 获得 该 算法 的 一 
般 特性 以 外 的 更 多 信息 。 对 于 这 种 算法 ,破解 的 惟一 办 法 是 尝试 所 有 可 能 的 密 钥 。 对 于 
56 位 长 度 的 密 钥 ,可 能 的 组 合 达到 2*” 二 7. 2X10* 种 ,用 穷 举 法 来 确定 某 一 个 密 钥 的 机 会 
是 很 小 的 。 

可 见 , 对 于 DES 算法 的 破解 是 比较 困难 的 。 为 了 更 进一步 提高 DES 算法 的 安全 
性 ,可 以 采用 加 长 密 钥 的 方法 。 例 如 ,IDEA(International Data Encryption Algorithm ) 算 
法 将 密 钥 的 长 度 加 大 到 128 位 ,每 次 对 64 位 的 数据 组 块 进行 加 密 , 提 高 了 算法 的 安 
全 性 。 


423” 非 对 称 数据 加 密 技术 

在 对 称 加 密 算法 中 ,加 密 算法 简单 .加 密 速 度 快 , 密 钥 简短 ,破解 起 来 比较 困难 。 但 
是 , 巾 于 对 称 加 密 算法 的 安全 性 完全 依赖 于 密 钥 的 保密 性 ,在 公开 的 计算 机 网 络 上 传送 和 
保管 密 钥 就 成 为 一 个 严峻 的 问题 。 从 传统 密码 出 现 一 直到 现代 密码 学 ,几乎 所 有 密码 编 
码 系统 都 建立 在 基本 的 替代 和 置换 工具 的 基础 上 。 
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公开 密 钥 密 码 编码 学 则 与 以 前 的 所 有 方法 都 截然 不 同 。 一 方面 公开 密 钥 算 法 基于 数 
学 函数 而 不 是 替代 和 和 置换; 另 一 方面 更 重要 的 是 ,公开 密 钥 密码 编码 学 是 非 对 称 的 , 它 使 
用 两 个 不 同 的 密 钥 ,而 对 称 的 常规 加 密 则 只 使 用 一 个 密 钥 。 

非 对 称 加 密 技术 ,也 就 是 公开 密 钥 算法 很 好 地 解决 了 传送 和 保管 密 钥 这 个 问题 。 它 
的 加 密 密 钥 和 解密 密 钥 完全 不 同 , 不 能 通过 加 密 密 钥 推算 出 解密 密 钥 。 之 所 以 称 为 公开 
密 钥 算法 ,就 是 因为 其 公开 密 钥 (Public Key, 简称 公 钥 ?是 公开 的 ,任何 人 都 能 通过 查找 
相应 的 公开 文档 得 到 ,用 它 对 明文 加 密 ,而 另 一 个 密 钥 是 私 有 密 钥 C(Private Key, 简称 私 
钥 ) ,是 需要 保密 的 ,只 有 得 到 相应 的 私有 密 钥 才 能 解密 信息 。 

1. 公开 密 钥 密码 系统 的 原理 

常规 加 密 的 密 钥 分 配 要 求 通信 双方 共享 了 一 个 密 钥 ,这 个 密 钥 已 经 以 某 种 方式 分 配 
给 它们 ; 或 者 要 用 一 个 密 钥 分 配 中 心 。 

公开 密 钥 算 法 用 一 个 公开 密 钥 进行 加 密 , 而 用 一 个 不 同 但 有 关 的 私有 密 钥 进 行 解密 。 
仅仅 知道 密码 算法 和 公开 密 钥 而 要 确定 私有 密 钥 ,在 计算 机 上 是 不 可 能 完成 的 。 另 外 , 公 
开 密 钥 密 码 系 统 还 有 一 个 特性 , 即 两 个 相关 密 钥 中 任何 一 个 都 可 以 用 作 加 密 而 让 另外 一 
个 用 作 和 解密。 

公开 密 钥 加 密 过 程 的 重要 步骤 如 下 : 

(1) 网 络 中 的 每 个 用 户 都 产生 一 对 用 于 加 密 和 解密 的 密 钥 , 即 公 钥 和 私 钥 。 

(2) 每 个 用 户 都 把 自己 的 公 钥 放 进 一 个 登记 本 或 者 文件 中 公布 , 另 一 个 密 钥 需要 自 
己 妥 善 保存 ,不 能 让 第 二 个 用 户 知道 。 

(3) 如 果 A 想 给 B 发 送 一 个 报 文 ,就 用 B 的 公开 密 钥 加 密 这 个 报 文 。 

(4) B 收 到 这 个 报 文 后 就 用 自己 的 私有 密 钥 解 密 报 文 ,其 他 所 有 收 到 这 个 报 文 的 人 
都 无 法 解密 它 ,因为 只 有 也 才 有 也 的 私有 密 钥 。 

公开 密 钥 算 法 示意 图 如 图 4-5 所 示 。 使 用 这 种 方法 ,所 有 用 户 都 可 以 获得 所 有 的 其 
他 用 户 的 公开 密 钥 ,而 各 用 户 的 私有 密 钥 由 各 用 户 在 本 地 产生 .因此 不 需要 在 网 络 上 传送 
分 配 。 只 要 各 自 的 私有 密 钥 能 保密 , 收 到 的 通信 内 容 就 是 安全 的 。 在 任何 时 候 , 用 户 都 可 
以 更 改 它 的 私有 密 钥 并 公开 相应 的 公开 密 钥 来 替代 它 原来 的 公开 密 钥 。 
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对 称 加 密 算法 和 非 对 称 加 密 算法 比较 如 表 4-5 所 示 
表 4-5 对 称 加 密 算法 和 非 对 称 加 密 算法 比较 


对 称 加 密 


非 对 称 加 密 


运行 条 件 : 
(1) 加 密 和 解密 使 用 同一 个 密 钥 和 同一 个 算法 。 
(2) 发 送 方 和 接收 方 必须 共享 密 钥 和 算法 。 


运行 条 件 : 

(1) 用 同一 个 算法 进行 加 密 和 解密 ,而 密 铀 有 一 
对 ,其 中 一 个 用 于 加 密 , 另 一 个 用 于 解密 。 

(2) 发 送 方 和 接收 方 每 个 拥有 一 对 相互 匹配 的 密 
钥 中 的 一 个 。 


安全 条 件 : 

(1) 密 钥 必须 保密 。 

(2) 如 果 不 掌 握 其 他 信息 ,要 想 解密 报 文 是 不 可 
能 或 者 至 少 是 不 现实 的 。 

(3) 知道 所 用 的 算法 加 上 密 文 的 样本 必须 不 足以 


安全 条 件 : 

(1) 两 个 密 钥 中 的 私 钥 必 须 保密 。 

(2) 如 果 不 掌握 其 他 信息 ,要 想 解密 报 文 是 不 可 
能 或 者 至 少 是 不 现实 的 。 

(3) 知道 所 用 的 算法 加 上 一 个 密 钥 加 上 密 文 的 样 


确定 密 钥 。 本 必须 不 足以 确定 另 一 个 密 钥 。 


2. RSA 算法 及 其 基本 思想 

RSA 算法 是 在 1977 年 由 美国 麻 省 理工 学 院 的 Ron Rivest、Adi Shamir 和 Len Adleman 
3 位 教授 研制 并 于 1978 年 首次 发 表 的 一 种 算法 ,算法 的 名 字 取 自 3 位 教授 的 名 字 。RSA 
算法 是 第 一 个 公开 密 钥 算 法 ,是 至 今 为 止 最 为 完善 的 公开 密 钥 算法 之 一 。 

RSA 是 一 种 分 组 密码 ,其 中 的 明文 和 密 文 都 是 对 于 某 个 的 从 0 到 一 1 之 间 的 整 
数 。 下 面 通过 具体 的 例子 说 明 RSA 算法 中 密 钥 生 成 的 过 程 。 

(1) 用 户 A 秘密 选择 两 个 大 素数 (只 能 被 1 和 自己 本 身 整 除 的 整数 )。 为 了 计算 方 
便 ,假设 选择 素数 p= 二 7 和 gq 二 17。 

(2) 计算 n=pXg=7X17=119。 

(3) 计算 出 nn 的 欧 拉 函 数 : $(n) 二 (p 一 1)X(g 一 1)= 二 6X16 二 96。 

(4) 选择 一 个 e, 它 小 于 $(n) 且 与 $(n) 二 96 互 素 , 这 样 的 数 非常 多 ,这 里 取 e 二 5。 

(5) 求 出 qd, 使 得 (4dXe)mod$(n)= 二 1. 即 (dx5)mod96 二 1, 可 得 到 d= 二 77。 

结果 用 户 A 得 到 的 公开 密 钥 为 {e.n)}, 即 {5,119}; 私有 密 钥 为 {d,n), 即 {77.,119})。 
用 户 A 得 到 公开 密 钥 和 私有 密 钥 后 ,把 公开 密 钥 告诉 用 户 B, 用 户 B 用 用 户 A 的 公开 密 
钥 对 发 送 的 信息 进行 加 密 ,然后 发 送 给 用 户 A。 用 户 A 再 用 自己 的 私有 密 钥 对 信息 进行 
解密 。 

例如 ,用 户 BB 将 明文 为 M 二 19 的 信息 发 送 给 用 户 A, 那 么 通过 如 下 公式 计算 得 到 密 
文 : C=Memod(z) 王 195modl119 一 66 。 

用 户 B 将 密 文 66 发 送 给 用 户 A. 用 户 A 在 接收 到 密 文 信息 后 ,可 以 使 用 私 钥 恢 复出 
有 明文 : M 二 C*mod(n) 二 66”mod119 二 19。 

从 上 例 中 可 以 看 出 ,从 p 和 g 计算 n 的 过 程 非常 简单 .但 从 ==119 找 出 p= 二 7、.g 二 17 
还 是 不 大 容易 的 。 在 实际 应 用 中 .p 和 g 将 是 非常 大 的 素数 (上 百 位 的 十 进 制 数 ) ,那样 ， 
通过 找到 p 和 4g 的 难度 将 非常 大 .甚至 近乎 不 可 能 。RSA 算法 的 安全 性 基于 大 数 分 解 
的 难度 。 其 公 钥 是 一 对 大 素数 的 函数 。 从 一 个 公 钥 和 密 文中 恢复 出 明文 的 难度 等 价 于 分 
解 两 个 大 素数 的 乘积 。 
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在 使 用 公开 密 钥 密 码 系统 之 前 ,每 个 参与 者 都 必须 产生 一 对 密 钥 。 这 里 包括 下 列 
任务 : 

(1) 确定 两 个 素数 p 和 gq。 任何 潜在 的 敌对 方 都 可 能 知道 n 二 pgq 的 值 ,为 了 防止 通 
过 穷 举 式 方法 发 现 p 和 qd ,这 些 素数 必须 从 足够 大 的 集合 中 进行 选取 , 另 一 方面 用 来 找到 
大 素数 的 方法 必须 相当 有 效 。 

(2) 选择 e 或 者 d 并 且 计 算 另 外 一 个 。 

3. RSA 算法 的 安全 性 分 析 

RSA 算法 的 安全 性 取决 于 从 中 分 解 出 p 和 4g 的 困难 程度 。 因 此 ,如 果 找 出 有 效 的 
因数 分 解 的 方法 , 那 RSA 算法 的 安全 性 就 没有 保证 了 。 密 码 分 析 学 家 和 密码 编码 学 家 一 
直 在 寻找 有 效 的 因数 分 解 的 方法 来 破解 RSA 算法 。 随 着 计算 机 硬件 水 平 的 发 展 ,对 一 个 
数据 进行 RSA 加 密 的 速度 已 越 来 越 快 , 另 一 方面 ,对 n 进行 因数 分 解 的 速度 也 越 来 越 快 ， 
所 花费 的 时 间 越 来 越 短 。 

4. 密 钥 的 管理 

(1) 公开 密 钥 的 分 配 

密 钥 管理 主要 处 理 密 钥 从 产生 到 最 终 弃 之 不 用 整个 过 程 中 的 有 关 问 题 ,包括 密 钥 的 
产生 ,存储 、 导 入 分配、 保护 、 丢 失 和 销毁 等 , 密 钥 管理 的 主要 任务 就 是 保证 在 公共 网 络 上 
安全 传递 密 钥 而 不 被 窃取 。 非 对 称 加 密 系 统 的 一 个 主要 应 用 是 解决 对 称 加 密 系 统 中 对 密 
钥 的 保密 和 分 配 问题 。 

分 配 公开 密 钥 的 技术 方案 主要 有 下 列 4 类 。 

Q@ 公开 宣布 。 利 用 一 个 应 用 广泛 的 公开 密 钥 加 密 算法 ,比如 RSA, 任 何 参与 者 都 可 
以 将 消息 用 RSA 算法 得 到 的 公开 密 钥 发 送 给 任何 一 个 参与 者 .或 者 广播 给 相关 人 群 ,并 
将 参与 者 的 公开 密 钥 附加 在 他 们 发 送 给 公开 论坛 的 报 文中 。 这 个 方法 虽然 很 方便 ,但 存 
在 一 个 致命 的 缺陷 : 任何 人 都 可 以 依靠 并 利用 这 样 的 公开 告示 得 到 公开 密 钥 , 缺 乏 监督 
机 制 来 约束 。 如 用 户 B 可 能 假装 是 用 户 A, 并 发 送 一 个 公开 密 钥 给 另 一 个 参与 者 C 或 者 
广播 这 样 一 个 公开 密 钥 .直到 用 户 A 发 觉 了 伪造 并 警告 其 他 参与 者 的 时 候 , 伪 造 者 也 可 
能 已 阅读 所 有 发 给 A 的 报 文 , 还 可 以 将 伪造 的 密 钥 用 于 鉴别 。 

@ 公开 目录 。 通 过 一 个 可 以 得 到 的 公开 密 钥 动态 目录 就 能 够 取得 更 大 的 安全 性 ,对 
公开 目录 的 维护 和 分 配 必须 由 一 个 受信 任 的 系统 或 组 织 来 负责 .就 像 每 个 参与 者 手中 都 
有 一 个 公开 的 电话 敌 ,自己 的 公开 密 钥 都 在 这 个 目录 上 可 供 人 查询 。 例 如 ,用 户 A 要 发 
送信 息 给 用 户 B, 先 从 公开 密 钥 的 目录 上 查 到 用 户 B 的 公开 密 钥 。 用 户 A 就 可 以 用 用 户 
B 的 公开 密 钥 把 要 发 送 的 信息 加 密 再 发 送 给 B。 公 开 目 录 明 显 比 各 个 参与 者 单独 进行 公 
示 更 加 安全 ,但 是 它 仍然 有 弱点 。 如 果 一 个 敌对 方 成 功 地 得 到 或 者 计算 出 了 目录 管理 机 
构 的 私有 密 钥 ,敌对 方 就 可 以 堂皇 地 散发 伪造 的 公开 密 钥 ,并 假装 成 任何 一 个 参与 者 并 窃 
听 发 送 给 该 参与 者 的 报 文 。 如 果 敌 对 方 算 改 管理 机 构 维 护 的 记录 也 可 以 达到 同样 的 
目的 。 

@ 公开 密 钥 管理 机 构 。 通 过 更 严密 地 控制 公开 密 钥 动态 目录 中 的 分 配 可 以 使 公 
开 密 钥 分 配 更 安全 。 假 定 一 个 中 心 管理 机 构 维护 一 个 所 有 参与 者 的 公开 密 钥 动态 目 
录 。 另 外 ,每 个 参与 者 都 知道 管理 机 构 的 一 个 公开 密 钥 ,而 只 有 管理 机 构 才 知道 每 个 
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参与 者 的 私有 密 钥 。 用 户 A 给 公开 密 钥 管理 机 构 发 送 一 个 带 时 间 戳 的 报 文 , 其 中 包含 
对 于 也 的 当前 公开 密 钥 的 请 求 。 管 理 机 构 以 一 个 使 用 它 的 私有 密 钥 加 密 的 报 文 进 行 
响应 ,因为 A 能 够 使 用 管理 机 构 的 公开 密 钥 解密 报 文 , 因 此 A 可 以 确信 这 个 报 文 来 自 
管理 机 构 , 报 文中 包括 B 的 公开 密 钥 。A 存储 B 的 公开 密 钥 并 使 用 它 加密 一 个 发 给 B 
的 报 文 。B 可 通过 同样 的 方式 得 到 A 的 公开 密 铀 。A 和 B 就 可 以 开始 相互 之 间 的 秘 
密 信息 交互 。 

公开 密 钥 管 理 机 构 可 能 会 由 于 大 量 用 户 请 求 ,而 使 系统 无 法 同时 满足 用 户 的 要 求 , 因 
为 用 户 对 于 他 所 和 希望 联系 的 其 他 用 户 都 必须 借助 于 管理 机 构 才 能 得 到 公开 密 钥 。 同 样 ， 
管理 机 构 所 维护 的 名 字 和 公开 密 钥 目录 也 可 能 被 自 改 。 

@ 公开 密 钥 证 书 。 采 用 这 种 方法 如 同 直接 从 公开 密 钥 管 理 机 构 得 到 密 钥 一 样 可 靠 。 
每 个 证 书包 含 一 个 公开 密 钥 以 及 其 他 信息 , 它 由 一 个 证 书 管理 机 构 制作 ,并 发 给 具有 相 匹 
配 的 私有 密 钥 的 参与 者 。 一 个 参与 者 通过 传输 它 的 证 书 将 其 密 钥 信息 传送 给 另 一 个 参与 
者 ,其 他 参与 者 可 以 验证 证 书 是 否 是 管理 机 构 制 作 的 。 每 个 参与 者 都 向 证 书 管理 机 构 提 
出 申请 ,提供 一 个 公开 密 钥 并 请 求 一 个 证 书 。 申 请 必须 是 面对面 的 或 者 是 通过 某 种 安全 
的 经 过 鉴别 的 方式 进行 。 参 与 者 可 以 把 自己 的 证 书 发 送 给 任何 其 他 的 参与 者 ,接收 者 使 
用 管理 机 构 的 公开 密 钥 将 证 书 解密 对 证 书 进 行 验证 。 因 为 这 个 证 书 只 能 以 管理 机 构 的 公 
开 密 钥 进 行 解读 ,这 就 验证 了 证 书 的 确 来 自 证 书 管理 机 构 。 证 书 中 会 告诉 接受 者 证 书 接 
受 者 的 名 字 和 公开 密 钥 。 最 后 ,时 间 戳 验证 了 证 书 的 实效 性 。 时 间 戳 防止 了 参与 者 的 私 
有 密 钥 被 对 方 获知 。A 产生 一 个 新 的 私有 /公开 密 钥 对 并 向 证 书 管理 机 构 申 请 一 个 新 的 
证 书 , 而 敌对 方 将 老 的 证 书 重 放 给 B, 如 果 B 用 被 泄露 的 私有 和 密 钥 对 应 原 公 开 密 钥 加 密 报 
文 , 敌 对 方 就 可 以 解读 这 些 报 文 。 

私有 密 钥 的 泄露 比较 像 信用 卡 丢失 。 持 卡 人 挂失 信用 卡号 码 , 但 是 在 所 有 可 能 的 通 
信 方 都 知道 旧 的 信用 卡 失效 之 前 仍然 有 和 危险。 如 果 一 个 证 书 过 分 陈旧 ,就 可 以 认为 它 已 
经 过 期 。 

(2) 秘密 密 钥 的 公开 密 钥 加 密 分 配 

一 旦 公开 密 钥 已 经 分 配 或 者 已 经 可 以 得 到 ,就 可 以 进行 安全 通信 ,阻止 窃听 、 自 改 或 
者 其 他 的 攻击 行为 。 因 为 公开 密 钥 加 密 的 速度 相对 较 慢 ,很 少 有 用 户 愿意 完全 用 公开 密 
钥 加 密 进行 通信 。 因 此 ,更 合理 的 做 法 是 将 公开 密 钥 加 密 当 作 一 个 分 配 常规 加 密 所 用 的 
秘密 密 钥 的 工具 。 

简单 的 秘密 密 钥 分 配 过 程 : A 先 产生 一 个 私有 /公开 密 钥 对 ,然后 给 B 传输 一 个 报 
文 ,其 中 包含 A 的 公开 密 钥 和 一 个 标识 符 ID。B 产生 一 个 秘密 密 钥 K, 并 将 其 用 A 的 公 
开 密 钥 加 密 后 传输 给 A。A 用 私有 密 钥 来 恢复 这 个 秘密 密 钥 。A 和 B 现在 就 可 以 使 用 
常规 加 密 用 秘密 密 钥 进行 安全 通信 。 信 息 通信 和 完成 以 后 .A 和 B 都 丢弃 这 个 秘密 密 钥 
K。 这 种 方式 可 以 将 获得 密 钥 的 危险 减 小 到 最 低 程 度 .但 是 这 个 方式 容易 受到 主动 攻击 。 
如 果 一 个 敌对 方 王 控制 了 中 间 的 通信 信道 ,结果 是 A 和 了 B 都 得 到 了 开 , 并 且 不 知道 K 也 
被 下 获知 。A 和 了 使 用 秘密 密 钥 进行 信息 交互 时 ,E 不 用 主动 干预 通信 信道 而 只 是 简单 
地 窃听 。 因 为 知道 了 秘密 密 钥 ,E 可 以 解密 所 有 的 报 文 ,而 A 和 B 都 不 知道 有 这 个 漏洞 
存在 。 这 种 简单 的 协议 仅仅 在 只 存在 窃听 的 信道 环境 中 可 以 使 用 。 
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4.3 数字 签名 和 报 文 鉴别 


431 数字 签名 


身份 验证 服务 可 以 确保 一 个 通信 是 可 信 的 。 在 诸如 产生 一 个 警告 或 警报 信号 的 单个 
消息 的 情况 下 ,鉴别 服务 的 功能 是 能 向 接收 方 保证 该 消息 发 送 方 的 真实 身份 。 在 一 个 终 
端 与 一 台 主 机 连接 这 样 一 个 正在 进行 交互 的 情况 下 ,鉴别 服务 涉及 两 个 方面 。 首 先 ,在 连 
接 发 起 时 ,该 服务 确保 这 两 个 实体 是 可 信和 的 , 即 每 个 实体 都 的 确 是 它们 宣称 的 那个 实体 。 
第 二 ,该 服务 必须 确保 该 连接 不 被 干扰 ,使 得 第 三 方 不 能 假冒 这 两 个 合法 方 中 的 任何 一 方 
来 达到 未 授权 传输 或 接收 的 目的 。 

在 网 络 中 进行 通信 ,会 遇 到 以 下 某 种 攻击 。 

(1) 泄露 : 将 报 文 内 容 透 露 给 没有 拥有 合法 密 钥 的 任何 人 或 相关 过 程 。 

(2) 伪装 : 敌 方 伪造 一 条 报 文 却 声称 它 源 自己 授权 的 终端 。 另 外 , 假 的 报 文 接收 者 
对 收 到 报 文 发 回 假 确认 ,或 者 不 子 接受 。 

(3) 算 改 : 算 改 报 文 的 内 容 。 

(4) 抵赖 : 接收 者 否认 收 到 某 报 文 或 发 送 者 否认 发 过 某 报 文 。 

在 计算 机 网 络 上 进行 通信 不 像 书信 或 文件 传送 那样 ,可 以 通过 亲笔 签名 或 印章 来 确 
认 身 份 。 经 常会 发 生 这 样 的 情况 : 发 送 方 不 承认 自己 发 送 过 某 一 个 文件 ; 接收 方 伪造 一 
份 文件 ,声称 是 对 方 发 送 的 ; 接收 方 对 接收 到 的 文件 进行 算 改 等 。 那么 ,如 何 对 网 络 上 传 
送 的 文件 进行 身份 验证 呢 ? 这 就 是 数字 签名 所 要 解决 的 问题 。 

一 个 完善 的 数字 签名 应 该 解决 好 下 面 3 个 问题 。 

(1) 当 事 双方 对 签名 真 伪 发 生 争议 ,应 该 能 够 在 第 3 方 或 一 个 仲裁 机 构 前 通过 验证 
签名 来 确认 其 真 伪 。 

(2) 发 送 方 事 后 不 能 否认 自己 对 报 文 签名 。 

(3) 接收 者 能 够 验证 签名 ,其 他 任何 人 不 能 伪造 签名 ,也 不 能 对 接收 或 发 送 的 信息 进 
行 算 改 ,伪造 。 

满足 上 述 3 个 条 件 的 数字 签名 技术 ,就 可 以 对 网 络 上 传输 的 报 文 进行 身份 验证 。 数 
字 签 名 的 实现 采用 了 密码 技术 ,通常 采用 公 钥 密 钥 加 密 算 法 实现 数字 签名 ,特别 是 采用 
RSA 算法 。 下 面 简 单 介绍 一 下 数字 签名 的 实现 思想 。 数 字 签 名 示意 图 如 图 4-6 所 示 。 


| [mi 窗 算法 人 解密 算法 ] | 
:通风 | 
! 1 络 传输， 
明文 -一 (1 窗 ) 一 =| 窗 广 | 窗 广 CE 
1 1 1 1 
1 1 U 
1 用 A 的 私 硼 过 ! 1 用 和 的 公 级 过 | 
!| 行 数字 签名 | 1 行 等 名 验证 | 
1 发 送 者 A | ! 接收 者 B | 


4-6 数字 签名 示意 图 
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报 文 进行 网 络 传输 时 ,发送 者 使 用 自己 的 私有 密 钥 对 报 文 信息 进行 加 密 就 形成 了 签 
名 。 将 加 密 的 报 文 发 送 给 接收 者 。 接 收 者 在 接收 到 加 密 的 报 文 后 ,采用 已 知 发 送 者 的 公 
钥 对 报 文 进行 解密 运算 ,就 可 以 核实 签名 。 

上 述 过 程 实现 了 对 报 文 信息 的 数字 签名 .但 报 文 并 没有 进行 加 密 . 如 果 其 他 人 截获 了 
报 文 并 知道 了 发 送 者 的 身份 ,就 可 以 查阅 文档 得 到 发 送 者 的 公 钥 ,从 而 获取 报 文 的 内 容 。 

为 了 达到 加 密 的 目的 ,在 将 已 签名 的 报 文 发 送出 去 之 前 , 先 用 接收 方 的 公 钥 对 报 文 进 
行 加 密 ,接收 方 在 接收 到 报 文 后 先 用 私 钥 对 报 文 进行 解密 ,然后 再 用 发 送 方 的 公 钥 验证 发 
送 方 的 签名 。 这 样 ,就 可 以 达到 加 密 和 签名 的 双重 效果 。 


432 报 文 鉴别 和 MD5 算 法 


在 计算 机 网 络 安全 领域 中 ,防止 信息 被 窃听 所 采取 的 措施 是 对 发 送 的 信息 进行 加 密 ， 
而 防止 信息 被 算 改 和 伪造 需要 使 用 报 文 鉴别 技术 。 鉴 别 是 验证 通信 对 象 是 原 定 的 发 送 者 
而 不 是 冒名 顶替 的 一 种 技术 。 报 文 鉴别 保证 通信 的 接收 方 能 够 验证 所 收 到 的 报 文 的 
真 伪 。 

报 文 的 安全 性 可 以 通过 报 文 加 密 来 实现 。 在 特定 的 网 络 应 用 中 ,许多 报 文 并 不 需要 
加 密 , 但 是 要 求 发 送 的 报 文 是 完整 的 ,没有 被 算 改 和 不 是 伪造 的 。 例 如 ,在 网 络 上 发 布 一 
个 公告 ,就 不 需要 加 密 , 而 只 要 保证 其 是 完整 的 ,没有 被 算 改 。 对 不 需要 保密 的 报 文 进行 
加 密 和 解密 ,将 会 浪费 计算 机 的 系统 资源 和 增加 运算 时 间 。 因 此 ,可 使 用 相对 简单 的 报 文 
鉴别 算法 来 达到 目的 。 

目前 ,大 多 使 用 报 文摘 要 (Message Digest. MD) 算 法 来 进行 报 文 鉴别 ,其 主要 原理 如 
图 4-7 所 示 。 


1 EkHm)) H(m) 
H(m) Ek(H(m)) Ek(H(m)+m 


人 
| 


产生 报 文摘 要 ”加 密 报 文摘 


图 4-7 报 文摘 要 示意 图 


对 报 文摘 要 示意 图 说 明 如 下 : 

。 发 送 方 将 待 发 送 的 可 变 长 报 文 m 经 过 MD 算法 运算 得 出 固定 长 度 的 报 文摘 要 HCm) 。 

。 使 用 密 钥 K 对 HCm) 生 成 报 文摘 要 密 文 Ek(H(m)) 附 加 在 报 文 m 之 后 一 起 发 送 。 

。 在 接收 方 收 到 报 文 m 和 报 文摘 要 密 文 Ek(H(m)) 之 后 .将 报 文摘 要 密 文 Ek(H(m)) 
解密 还 原 成 HCm) 。 

。 同时 接收 方 将 收 到 的 报 文 m 经 过 MD 算法 运算 得 出 的 报 文摘 要 与 HC(m) 比 较 是 
否 相 同 . 若 不 相同 则 可 断定 收 到 的 报 文 不 是 发 送 方 产生 的 。 
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报 文摘 要 的 优点 : 对 短 的 固定 长 度 的 报 文摘 要 HCm) 进 行 加 密 比 对 整个 报 文 m 进行 
加 密 的 计算 效率 要 高 得 多 。 

要 实现 报 文 m 和 加 密 的 报 文摘 要 Ek(H(m)) 在 一 起 是 不 可 算 改 和 伪造 的 ,是 可 鉴别 
和 不 可 抵赖 的 ,MD 算法 必须 满足 两 个 条 件 。 

(1) 对 于 给 定 的 一 个 报 文摘 要 值 x, 若 想 找到 一 个 报 文 y, 使 得 HCy) 王 x, 在 计算 上 不 
可 行 ,或 者 想 从 算法 上 得 到 结果 ,其 时 间 代 价 之 高 是 无 法 承受 的 。 

(2) 两 个 不 同 报 文 产生 同样 的 报 文摘 要 在 计算 上 是 不 可 行 的 。 

这 两 个 条 件 表明 : (m,HCm)) 是 发 送 方 产生 的 报 文 和 报 文摘 要 ,攻击 者 不 可 能 仿造 另 
一 个 报 文 m' ,使 得 Ham') 王 HCm) ,从 而 达到 报 文 鉴别 的 目的 。 同 时 发 送 方 可 以 对 HCmy) 
进行 数字 签名 ,使 报 文成 为 不 可 抵赖 的 。 

报 文摘 要 一 般 采 用 散 列 隐 数 (Hash Function) 实 现 , 目 前 用 得 最 为 广泛 的 是 MD5 报 
文摘 要 算法 。 

MD5 属于 一 种 被 称 之 为 报 文摘 要 算法 的 哈 希 函数 ,MD5 系统 的 定义 是 算法 以 一 个 
任意 长 信息 作为 输入 ,产生 一 个 128 位 的 “指纹 ”或 “摘要 信息 ”。MD5 系统 主要 是 用 在 数 
字 签 名 和 报 文 鉴别 中 。 

MD5 算法 是 对 需要 进行 摘要 处 理 的 报 文 信息 块 按 512 位 并 行 处 理 的 。 首 先 将 需要 
进行 摘要 处 理 的 报 文 信息 块 进 行 填充 ,使 信息 报 文 的 长 度 等 于 512 的 倍数 。 填 充 时 首先 
在 需要 进行 摘要 处 理 的 报 文 信 息 块 后 填充 64 位 的 信息 长 度 , 其 首位 为 1, 其 他 位 全 为 0; 
然后 对 信息 报 文 依次 处 理 ,每 次 处 理 512 位 ,每 次 进行 4 轮 16 步 总 共 64 步 的 信息 变换 处 
理 , 每 次 输出 结果 为 128 位 ,然后 把 前 一 次 的 输出 作为 下 一 次 信息 变换 的 输入 初始 值 ( 第 
一 次 初始 值 算法 已 经 固定 ) ,这 样 最 后 输出 一 个 128 位 的 哈 希 摘要 结果 。 目 前 MD5 被 认 
为 是 最 安全 的 报 文 摘要 算法 之 一 ,已 经 在 很 多 应 用 中 被 当成 标准 使 用 。 

MD5 提供 了 一 种 单 向 的 哈 希 函数 ,是 一 种 校 验 和 报 文 鉴别 工具 。MD5 将 一 个 任意 
长 的 字符 串 作 为 输入 ,产生 一 个 128 位 的 报 文摘 要 . 附 在 信息 报 文 后 面 .以 确保 鉴别 报 文 
以 防 算 改 。MD5 认为 对 两 个 不 同 报 文 产生 同样 的 报 文摘 要 在 计算 上 是 不 可 行 的 ,并 且 一 
个 已 给 定 的 报 文摘 要 对 另 一 个 报 文 产生 同样 的 报 文摘 要 也 是 不 可 计算 的 。MD5 的 散 列 
结果 为 128 位 。 如 果 采 用 穷 举 法 攻击 .每 秒 10 亿 条 明文 的 计算 量 需 要 计算 约 10 年 。 

MD5 算法 是 对 付 特洛伊 木马 程序 (有 关 特 洛 伊 木马 的 知识 将 在 后 面 的 相关 章节 中 详 
细 介 绍 ) 的 非常 有 效 的 工具 。 通 过 MD5 算法 计算 每 个 文件 的 数字 签名 可 检查 文件 是 否 
被 更 换 或 是 否 与 原来 的 一 致 。 


4.4 信息 安全 技术 在 电子 商务 中 的 应 用 


网 络 在 人 们 日 常生 活 和 工作 中 的 应 用 越 来 越 广泛 ,作为 21 世纪 的 主要 经 济 形式 一 一 
电子 商务 ,将 给 全 世界 经 济 带 来 巨大 的 变革 。 电 子 商务 可 以 大 幅度 降低 交易 成 本 ,增加 贸 
易 机 会 ,简化 贸易 流程 .提高 贸易 效率 ,改善 物流 环节 ,推动 企业 和 国民 经 济 结构 的 改革 。 
电子 商务 是 一 个 机 遇 和 挑战 共存 的 新 领域 ,这 种 挑战 大 多 数 来 源 于 对 使 用 的 安全 技术 的 
信赖 。 如 何 建 立 一 个 安全 、 便 捷 的 电子 商务 应 用 环境 ,对 信息 提供 足够 的 保护 ,是 商家 和 
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用 户 都 十 分 关注 的 问题 。 安 全 问题 已 成 为 电子 商务 的 核心 问题 。 要 加 强 电子 商务 的 安 
全 ,需要 企业 本 身 采取 更 为 严格 的 管理 措施 ,需要 国家 建立 健全 的 法 律 制度 ,更 需要 有 科 
学 的 、 先 进 的 信息 安全 技术 。 


441 电子 商务 的 安全 概述 


当今 世界 上 最 著名 的 阿里 巴巴 网 站 是 全 球 最 大 的 网 上 贸易 市 场 和 商人 社区 ,为 来 自 
220 多 个 国家 和 地 区 的 760 多 万 企业 和 商人 提供 网 上 商务 服务 。 很 多 中 小 企业 通过 电子 
商务 获得 了 巨大 商机 ,但 也 有 些 企业 由 于 网 上 交易 陷入 欺诈 陷阱 。 所 以 要 充分 认识 到 电 
子 商务 为 企业 带 来 的 益处 ,但 同时 也 要 看 到 电子 商务 目前 发 展 的 不 完善 性 。 

1. 电子 商务 的 基本 结构 和 流程 

目前 世界 上 通过 因特网 进行 电子 商务 的 个 人 和 企业 不 断 增加 ,但 如 果 把 信用 卡 的 号 
码 \ 有 效 期 限 、 使 用 者 姓名 等 重要 信息 直接 通过 网 络 传送 ,每 个 人 都 会 担心 ,个 人 信息 会 不 
会 泄漏 ,会 不 会 有 人 盗用 信用 卡 等 。 因 此 必须 建立 一 个 能 够 安全 可 靠 地 进行 电子 商务 数 
据 交换 的 系统 。 

电子 商务 的 服务 模式 主要 有 : 企业 内 部 之 间 、 企 业 和 企业 之 间 、 企 业 与 消费 者 之 间 
等 。 企 业 一 企业 和 企业 一 消费 者 之 间 电 子 商 务 的 交易 过 程 是 有 差异 的 ,和 传统 的 商务 活 
动 不 同 的 是 ,在 电子 商务 的 流程 中 ,企业 、` 消 费 者 、 银 行 和 第 三 方 交易 平台 、 认 证 体系 .物流 
配送 体系 等 积极 参与 交易 的 整个 过 程 。 虽 然 电子 商务 的 发 展 是 不 可 阻挡 的 潮流 ,但 是 目 
前 在 发 展 过 程 中 还 面临 一 些 基 本 问题 ,也 称 为 电子 商务 发 展 过 程 中 的 七 大 瓶颈 ,它们 分 别 
是 认证 体系 、 安 全 保障 、\ 在 线 支付 安全 ,物流 配送 体系 .互联 网 络 的 带宽 .法律 环境 以 及 协 
同 作业 平台 问题 。 企 业 在 实施 电子 商务 时 必须 正视 这 些 问题 ,并 协同 寻求 解决 之 道 。 

传统 企业 要 根据 电子 商务 的 发 展 趋势 确立 自己 的 因特网 发 展 策略 : 通过 因特网 建立 
全 新 的 商业 模式 ,将 商业 行为 的 主导 权 从 卖方 转移 到 了 买方 ,使 消费 者 拥有 更 全 面 的 信 
息 、 更 多 的 选择 和 更 强大 的 交易 工具 .在 交易 中 逐步 占据 主动 地 位 。 电 子 商 务 需 要 全 新 的 
商业 理念 。 对 一 些 企业 来 说 ,电子 商务 的 应 用 ,简单 地 使 用 Web 是 不 够 的 ,必须 重新 考虑 
企业 的 电子 商务 应 用 环境 、 原 有 的 信息 管理 技术 和 业务 流程 。 因特网 可 以 使 企业 以 从 前 
不 可 想象 的 方式 ,将 自身 运作 和 其 他 组 织 整合 在 一 起 。 

网 上 交易 流程 有 很 多 种 类 型 ,主要 分 为 网 络 商品 直销 和 网 络 商品 中 介 交 易 这 两 种 基 
本 的 流程 。 

(1) 网 络 商品 直销 的 流程 

网 络 商品 直销 是 指 消费 者 和 生产 者 或 者 是 需求 方 和 供应 方 直接 利用 网 络 形式 所 开展 
的 买卖 活动 。 这 种 在 网 上 的 买卖 交易 最 大 的 特点 是 供需 直接 见面 ,环节 少 ,速度 快 ,费用 
低廉 。 

@ 消费 者 在 因特网 上 查看 企业 和 商家 的 主页 (HomePage); 

@ 消费 者 通过 购物 对 话 框 填写 姓名 、 地 址 、 商 品 品 种 .规格 、 数 量 、 价 格 ; 

@ 消费 者 选择 支付 方式 ,如 信用 卡 、 借 记 卡 .电子 货币 .电子 支票 等 ; 

@ 企业 或 商家 的 客户 服务 器 接 到 定单 后 检查 支付 方 的 服务 器 ,确认 汇款 额 是 否 被 
认可 ， 
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@@ 企业 或 商家 的 客户 服务 器 确认 消费 者 付款 后 ,通知 销售 部 门 送 货 上 门 ; 

@ 消费 者 的 开户 银行 将 支付 款项 传递 到 信用 卡 公 司 , 并 由 信用 卡 公 司 负责 发 给 消费 
者 收费 单 。 

在 上 述 过 程 中 ,认证 中 心 (CA) 作 为 第 三 方 ,确认 在 网 上 经 商 者 的 真实 身份 ,保证 了 交 
易 的 正常 进行 。 

网 络 商 品 直 销 的 诱 人 之 处 在 于 它 能 够 有 效 地 减少 交易 环节 ,大 幅度 地 降低 交易 成 本 ， 
从 而 降低 消费 者 所 得 到 的 商品 的 最 终 价格 。 消 费 者 只 需 输入 厂家 的 域名 ,访问 厂家 的 主 
页 , 即 可 清楚 地 了 解 所 需 商 品 的 品种 、 规 格 、 价 格 等 情况 ,而 且 . 该 商品 厂家 主页 上 的 价格 
最 接近 出 厂价 ,这 样 就 有 可 能 达到 出 厂价 格 和 最 终 价 格 的 统一 ,从 而 使 厂家 的 销售 利润 大 
幅度 提高 ,竞争 能 力 不 断 增强 。 

网 络 商品 直销 的 不 足 之 处 主要 表现 在 两 个 方面 。 第 一 ,购买 者 只 能 从 网 络 广告 上 判 
断 商品 的 型 号 .性 能 .样式 和 质量 ,对 实物 没有 直接 的 感知 ,在 很 多 情况 下 可 能 产生 错误 的 
判断 ; 而 某 些 厂商 也 可 能 利用 网 络 广 告 对 自己 的 产品 进行 不 实 的 宣传 ,其 至 可 能 打出 虚 
假 广告 欺骗 顾客 。 第 二 ,购买 者 利用 信用 卡 进 行 网 络 交易 ,不 可 避免 地 要 将 自己 的 密码 输 
人 计算 机 ,由 于 新 技术 的 不 断 涌现 ,犯罪 分 子 可 能 利用 各 种 高 新 科技 的 作案 手段 窃取 密 
码 ,进而 盗窃 用 户 的 钱 款 ,这 种 情况 不 论 是 在 国外 还 是 在 国内 均 有 发 生 。 

(2) 网 络 商品 中 介 交 易 的 流程 

网 络 商品 中 介 交 易 是 通过 网 络 商品 交易 中 心 , 即 虚拟 网 络 市 场 进行 的 商品 交易 ,如 阿 
里 巴巴 ,或 购物 网 站 如 易趣 网 等 。 在 这 种 交易 过 程 中 ,网 络 商品 交易 中 心 以 因特网 为 基 
础 ,利用 先进 的 通信 技术 和 计算 机 软件 技术 .将 商品 供应 商 、 采 购 商 和 银行 紧密 地 联系 起 
来 ,为 客户 提供 市 场 信息 、 商 品 交 易 、 仓 储 配 送 、 货 款 结算 等 全 方位 的 服务 。 

买卖 双方 各 自 的 供需 信息 通过 网 络 告 诉 网 络 商 品 交 易 中 心 ,网 络 商 品 交 易 中 心 通过 
信息 发 布 服务 向 交易 的 参与 者 提供 大 量 的 、 详 细 准 确 的 交易 数据 和 市 场 信息 。 

买卖 双方 根据 网 络 商品 交易 中 心 提供 的 信息 ,选择 自己 的 贸易 伙伴 。 网 络 商品 交易 
中 心 从 中 撮合 ,促使 买 卖 双方 签订 合同 。 

买方 在 网 络 商品 交易 中 心 指定 的 银行 办 理 转账 付款 手续 。 

网 络 商品 交易 中 心 在 各 地 的 配送 部 门将 卖方 货物 送 交 买方 。 

通过 网 络 商品 中 介 进 行 交 易 具 有 许多 突出 的 优点 。 首 先 , 网 络 商品 中 介 为 买卖 双方 
展现 了 一 个 巨大 的 世界 市 场 ,这 个 市 场 网 络 储存 了 全 世界 的 几 千 万 个 品种 的 商品 信息 资 
料 ,可 联系 千 万 家 企业 和 商贸 单位 。 每 一 个 参加 者 都 能 够 充分 地 宣传 自己 的 产品 ,及 时 地 
沟通 交易 信息 ,最 大 限度 地 完成 产品 交易 。 各 种 网 络 商品 中 介 机 构 通过 网 络 彼此 连接 起 
来 ,进而 形成 全 球 性 的 大 市 场 .目前 这 个 市 场 正 以 每 年 70% 的 速度 递增 。 其次, 网络 商品 
交易 中 心 作为 中 介 方 可 以 监督 交易 合同 的 履行 情况 .有 效 地 解决 在 交易 中 买卖 双方 产生 
的 各 种 纠纷 和 问题 。 最 后 ,在 交易 的 结算 方式 上 .网 络 商 品 交 易 中 心 采用 统一 集中 的 结算 
模式 ,对 结算 资金 实行 统一 管理 ,有 效 地 避免 了 多 形式 、 多 层次 的 资金 截留 .占用 和 挪用 ， 
提高 了 资金 风险 防范 能 力 。 

网 络 商品 中 介 交 易 的 方式 目前 存在 的 主要 问题 是 ,现在 使 用 的 合同 文本 还 是 以 买卖 
双方 签字 交换 的 方式 完成 :如 何 过 渡 到 电子 文本 合同 ,并 在 法 律 上 得 以 认可 , 尚 需 解决 有 
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142 关 技 术 和 法 律 问题 。 

2. 电子 商务 安全 因素 与 安全 技术 

(1) 电子 商务 的 安全 要 素 

Q@ 有效 性 。 电 子 商务 以 电子 形式 取代 了 纸张 ,那么 如 何 保证 这 种 电子 形式 的 贸易 信 
息 的 有 效 性 则 是 开展 电子 商务 的 前 提 。 电 子 商务 作为 贸易 的 一 种 形式 ,其 信息 的 有 效 性 
将 直接 关系 到 个 人 .企业 或 国家 的 经 济 利益 和 声誉 。 因 此 ,要 对 网 络 故障 、 操 作 错 误 、 应 用 
程序 错误 .硬件 故障 .系统 软件 错误 及 计算 机 病毒 所 产生 的 潜在 威胁 加 以 控制 和 预防 ,以 
保证 贸易 数据 在 确定 的 时 刻 、 确 定 的 地 点 是 有 效 的 。 

@ 机 密 性 。 电 子 商务 作为 贸易 的 一 种 手段 ,其 信息 直接 代表 着 个 人 、 企 业 或 国家 的 
商业 机 密 。 传 统 的 纸 面 贸易 都 是 通过 邮寄 封装 的 信件 或 通过 可 靠 的 通信 渠道 发 送 商 业 报 
文 来 达到 保守 机 密 的 目的 。 电 子 商务 建立 在 一 个 较为 开放 的 网 络 环境 上 (尤其 因特网 是 
更 为 开放 的 网 络 ) ,维护 商业 机 密 是 电子 商务 全 面 推广 应 用 的 重要 保障 。 因 此 ,要 预防 非 
法 的 信息 存 取 和 信息 在 传输 过 程 中 被 非法 窃取 。 

@ 完整 性 。 电 子 商务 简化 了 贸易 过 程 ,减少 了 人 为 的 干预 ,同时 也 带 来 维护 贸易 各 
方 商 业 信息 的 完整 和 统一 的 问题 。 由 于 数据 输入 时 的 意外 差错 或 欺诈 行为 ,可 能 导致 
贸易 各 方 信 息 的 差异 。 此 外 ,数据 传输 过 程 中 信息 的 丢失 ,重复 或 传送 次 序 的 差异 也 
会 导致 贸易 各 方 信息 的 不 同 。 贸 易 各 方 信 息 的 完整 性 将 影响 到 贸易 各 方 的 交易 和 经 
营 策略 ,保持 贸易 各 方 信息 的 完整 性 是 电子 商务 应 用 的 基础 。 因 此 ,要 防止 对 信息 的 
随意 生成 、 修 改 和 删除 ,同时 要 防止 数据 传送 过 程 中 信息 的 丢失 和 重复 并 保证 信息 传 

@ 可 靠 性 /不 可 抵赖 性 /可 鉴别 性 。 电 子 商 务 直接 关系 到 贸易 双方 的 商业 交易 ,确定 
要 进行 交易 的 贸易 方正 是 交易 所 期 望 的 贸易 方 是 保证 电子 商务 顺利 进行 的 关键 。 在 传统 
的 纸 面 贸易 中 ,贸易 双方 通过 在 交易 合同 、 契 约 或 贸易 单据 等 书面 文件 上 手写 签名 或 加 盖 
印章 来 鉴别 贸易 伙伴 ,确定 合同 、 契 约 、. 单 据 的 可 靠 性 并 预防 抵赖 行为 的 发 生 , 这 也 就 是 人 
们 常 说 的 白 纸 黑 字 。 在 无 纸 化 的 电子 商务 方式 下 ,通过 手写 签名 和 加 盖 印 章 进行 贸易 方 
的 鉴别 是 不 可 能 的 。 因 此 ,要 在 交易 信息 的 传输 过 程 中 为 参与 交易 的 个 人 、 企 业 或 国家 提 
供 可 靠 的 标识 。 

@@ 即 需 性 。 即 需 性 是 防止 延迟 或 拒绝 服务 . 即 需 安 全 威胁 的 目的 就 在 于 破坏 正常 的 
计算 机 处 理 或 完全 拒绝 服务 。 在 电子 商务 中 ,延迟 或 消除 一 个 消息 会 带 来 灾难 性 的 后 果 。 
例如 , 某 个 用 户 在 上 午 10 点 向 在 线 的 股票 交易 公司 发 一 个 电子 邮件 委托 购买 1000 股 
IBM 公司 的 股票 ,假如 这 个 邮件 被 延迟 了 .股票 经 济 商 在 下 午 2 点 半 才 收 到 这 封 邮件 ,这 
时 股票 已 经 涨 了 15%% ,这 个 消息 的 延迟 就 使 该 用 户 损失 了 交易 额 的 15% 。 

@@ 身份 认证 。 身 份 认证 是 指 交 易 双 方 可 以 相互 确认 彼此 的 真实 身份 ,确认 对 方 就 是 
本 次 交易 中 声称 的 真正 交易 方 。 认 证 是 证 实 一 个 声称 的 身份 或 者 角色 ,如 用 户 、 机 器 、 节 
点 等 是 否 真 实 的 过 程 。 身 份 认证 过 程 为 授权 和 审计 所 必需 ,也 是 实现 授权 、 审 计 的 访问 控 
制 过 程 运行 的 前 提 , 是 计算 机 网 络 安全 系统 不 可 缺少 的 组 成 部 分 。 

@ 审查 能 力 。 根 据 机 密 性 和 完整 性 的 要 求 . 应 对 数据 审查 的 结果 进行 记录 。 审 查 能 
力 是 对 每 个 经 授权 的 用 户 的 活动 的 惟一 标识 和 监控 ,以便 对 其 所 使 用 的 操作 内 容 进行 审 
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计 和 跟踪 ,防止 当 贸 易 一 方 发 现 交 易 行为 对 自己 不 利 时 可 以 拒绝 电子 商务 行为 。 

(2) 电子 商务 中 使 用 的 信息 安全 技术 

为 了 保证 电子 商务 交易 的 安全 ,在 电子 商务 中 使 用 了 各 种 信息 安全 技术 。 

@ 加 密 技术 。 加 密 技术 是 电子 商务 中 采用 的 主要 安全 措施 ,交易 双方 可 根据 需要 在 
信息 交换 阶段 对 传送 的 信息 加 密 。 

@ 密 钥 管理 技术 。 对 称 密 钥 管 理 是 基于 共同 保护 秘 钥 来 实现 的 ,采用 对 称 加 密 技术 
的 双方 必须 采用 安全 可 靠 的 方式 来 保护 密 钥 ,同时 要 设 定 防 止 密 钥 泄漏 和 更 改 密 钥 的 程 
序 。 使 用 公开 密 钥 的 交易 双方 可 以 使 用 证 书 来 交换 公开 密 钥 。 数 字 证 书 能 够 起 到 标识 交 
易 双 方 的 作用 ,是 目前 电子 商务 中 使 用 较为 广泛 的 技术 之 一 。 

@ 数字 签名 。 数 字 签 名 是 公开 密 钥 加 密 技 术 的 另 一 种 应 用 。 报 文 的 发 送 方 从 报 文 
信息 中 生成 一 个 128 位 的 散 列 值 ,发 送 方 用 自己 的 私有 密 钥 对 这 个 散 列 值 进行 加 密 来 形 
成 发 送 方 的 数字 签名 ,通过 数字 签名 能 够 实现 对 原始 报 文 的 不 可 抵赖 性 。 

@ 防火 墙 技术 。 防 火 墙 主要 用 来 隔离 内 部 网 络 和 外 部 网 络 ,保护 内 部 网 不 受 外 部 网 
的 攻击 。 目 前 防火 墙 主 要 有 包 过 滤 技 术 和 应 用 网 关 一 代理 服务 器 。 包 过 滤 技 术 是 在 网 
络 层 中 按照 过 滤 规 则 对 数据 包 实施 有 选择 的 通过 。 应 用 网 关 一 代理 服务 器 可 针对 网 络 
应 用 服务 协议 即 数据 过 滤 协 议 进行 存 取 控 制 ,并且 能 够 对 数据 进行 分 析 并 形成 相关 的 
报告 。 

@ CA 技术 。 认 证 机 构 体 系 CA 是 指 一 些 不 直接 从 电子 商务 贸易 中 获 利 的 、 受 法 律 
保护 的 .可 信任 的 权威 机 构 ,CA 负责 发 放 和 管理 电子 证 书 ,使 网 上 通信 的 各 方 能 互相 确 
认 身 份 。CA 的 基本 功能 有 : 接收 注册 请 求 , 处 理 、 拒 绝 /批准 请 求 ,颁发 证 书 。 在 实际 运 
用 中 ,CA 由 大 家 都 信任 的 机 构 担 当 , 如 中 国 数字 认证 中 心 等 。 
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在 电子 商务 发 展 中 ,最 关键 的 问题 是 如 何在 开放 的 公开 网 络 上 保证 交易 的 安全 性 , 即 
如 何 构筑 一 个 安全 的 交易 模型 。 一 个 安全 的 电子 交易 模型 应 该 包括 5 个 方面 的 内 容 : 数 
据 保 密 、 身 份 认 证 、 数 据 完整 性 、 防 抵赖 性 和 访问 控制 。 目 前 ,有 两 种 安全 在 线 支付 协议 被 
广泛 采用 , 即 SSL 协议 和 SET 协议 。 

1. SSL 协议 

SSL(Secure Socket Layer, 安 全 套 接 层 ) 协 议 是 网 景 (Netscape) 公 司 提出 的 一 种 基于 
Web 应 用 的 网 络 安全 通信 协议 , 它 包括 服务 器 认证 .客户 认 证 、SSL 链 路 上 的 数据 完整 性 
和 SSL 链 路 上 的 数据 保密 性 ,主要 采用 公开 密 钥 体制 和 X. 509 数字 证 书 技术 来 提供 数据 
传输 的 安全 性 保证 。 对 于 电子 商务 应 用 来 说 .SSL 协议 可 保证 信息 的 真实 性 .完整 性 和 
保密 性 。 但 SSL 不 对 应 用 层 的 消息 进行 数字 签名 ,因此 不 能 提供 交易 的 不 可 抵赖 性 ,这 
是 SSL 在 电子 商务 中 使 用 的 最 大 不 足 。 因 此 ,网 景 公司 在 从 Communicator 4. 04 版 开始 
的 所 有 浏览 器 中 引入 了 一 种 被 称 做 表单 签名 (Form Signing) 的 功能 。 在 电子 商务 中 ,可 
利用 这 一 功能 对 包含 购买 者 的 订购 信息 和 付款 指令 的 表单 进行 数字 签名 ,从 而 保证 交易 
信息 的 不 可 否认 性 。SSL 协议 是 一 个 保证 任何 安装 了 安全 套 接 层 的 客户 机 和 服务 器 间 
事务 安全 的 协议 , 它 涉及 所 有 TCP/IP 应 用 程序 。 
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(1) SSL 安全 协议 主要 提供 3 方面 的 服务 

Q@ 对 用 户 和 服务 器 进行 认证 ,确保 数据 发 送 到 正确 的 客户 机 和 服务 器 。 

@ 加 密 数 据 以 防止 数据 在 传输 过 程 中 被 窃取 。 

@ 维护 数据 的 完整 性 ,确保 数据 在 传输 过 程 中 不 被 改变 。 

(2) SSL 协议 的 工作 流程 

服务 器 认证 阶段 : 四 客户 端 ( 即 消费 者 ?向 服务 器 ( 即 商 家 ) 发 送 一 个 开始 信息 Hello， 
以 便 开 始 一 个 新 的 会 话 连接 ; 四 服务 器 根据 客户 端的 信息 确定 是 否 需要 生成 新 的 主 密 
钥 ,如 需要 则 服务 器 在 响应 客户 端 发 送 的 Hello 信息 时 将 包含 生成 主 密 钥 所 需 的 信息 ; 
加 客户 端 根据 收 到 的 服务 器 响应 信息 ,产生 一 个 主 密 钥 ,并 用 服务 器 的 公开 密 钥 加 密 后 传 
给 服务 器 ; 田 服 务 器 收 到 该 主 密 钥 ,并 返回 给 客户 一 个 用 主 密 钥 认 证 的 信息 ,以 此 让 客户 
认证 服务 器 。 

客户 认证 阶段 : 在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 ,这 一 阶段 主要 完成 对 客户 的 
认证 。 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 数字 签名 后 的 提问 和 其 公开 密 
钥 , 从 而 向 服务 器 提供 认证 。 

从 SSL 协议 所 提供 的 服务 及 其 工作 流程 中 可 以 看 出 ,SSL 协议 运行 的 基础 是 商家 对 
消费 者 信息 保密 的 承诺 ,这 有 利于 商家 而 不 利于 消费 者 。 在 电子 商务 初级 阶段 ,能 运作 电 
子 商务 的 企业 大 多 是 信誉 较 高 的 大 公司 ,因此 这 个 问题 还 没有 充分 暴露 出 来 。 随 着 电子 
商务 的 发 展 , 越 来 越 多 的 中 小 型 公司 也 参与 了 电子 商务 。 在 电子 支付 过 程 中 ,中 小 型 公司 
没有 强制 的 监督 机 制 , 这 种 只 有 商家 对 消费 者 的 认证 而 没有 消费 者 对 商家 的 认证 的 单一 
认证 问题 就 越 来 越 突 出 。 虽 然 在 SSL3. 0 中 通过 数字 签名 和 数字 证 书 可 实现 浏览 器 和 
Web 服务 器 双方 的 身份 验证 ,但 是 SSL 协议 仍 存 在 一 些 问题 ,例如 ,SSL 协议 只 能 提供 交 
易 中 客 户 与 服务 器 间 的 双方 认证 ,在 涉及 多 方 的 电子 交易 中 ,SSL 协议 并 不 能 协调 各 方 
间 的 安全 传输 和 信任 关系 。 在 这 种 情况 下 ,Visa 和 MasterCard 两 大 信用 卡 公 司 组 织 制 
定 了 SET 协议 ,为 网 上 信用 卡 支付 提供 了 全 球 性 的 标准 。 

2. SET 协议 

SET(Secure Electronic Transcation ,安全 电子 交易 ) 协 议 由 美国 Visa 和 MasterCard 
两 大 信用 卡 组 织 联合 国际 上 多 家 科技 机 构 ,共同 制定 了 应 用 于 因特网 上 的 以 银行 卡 为 基 
础 进行 在 线 交 易 的 安全 标准 ,目的 是 保证 网 络 交易 的 安全 。SET 协议 主要 是 为 了 解决 信 
用 卡 在 电子 商务 交易 中 的 交易 协议 .信息 保密 .资料 完整 以 及 身份 认证 等 问题 。 

SET 协议 采用 公 钥 密码 体制 和 X. 509 数字 证 书 标准 ,主要 应 用 于 企业 一 消费 者 模 
式 中 ,保障 网 上 购物 信息 的 安全 性 。SET 协议 本 身 比 较 复杂 ,设计 比较 严格 ,安全 性 
高 ,能 保证 信息 传输 的 机 密 性 、 真 实 性 、 完 整 性 和 不 可 抵赖 性 。SET 协议 是 公 钥 基础 设 
施 (PKD 框 架 下 的 一 个 典型 实现 .同时 也 在 不 断 升 级 和 完善 ,如 SET2. 0 支持 借 记 卡 电 
子 交易 。 

SET 协议 的 工作 流程 : 

(1) 消费 者 利用 自己 的 PC 机 通过 因特网 选 定 所 要 购买 的 物品 ,并 在 计算 机 上 输入 订 
货 单 ,订货 单 上 需 包 括 在 线 商 店 、 购 买 物品 名 称 及 数量 、 交 货 时 间 及 地 点 等 相关 信息 。 
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(2) 通过 电子 商务 服务 器 与 有 关 在 线 商 店 联系 ,在 线 商店 作出 应 答 ,告诉 消费 者 所 填 
订货 单 的 货物 单价 、 应 付款 数 、 交 货 方式 等 信息 是 否 准确 .是否 有 变化 。 

(3) 消费 者 选择 付款 方式 ,确认 订单 ,签发 付款 指令 。 此 时 SET 开始 介入 。 

(4) 在 SET 中 ,消费 者 必须 对 订单 和 付款 指令 进行 数字 签名 ,同时 利用 双重 签名 技 
术 保 证 商家 看 不 到 消费 者 的 账号 信息 。 

(5) 在 线 商店 接受 订单 后 ,向 消费 者 所 在 银行 请 求 支 付 认可 。 信 息 通过 支付 网 关 到 
收 单 银 行 ,再 到 电子 货币 发 行 公司 确认 。 批 准 交 易 后 ,返回 确认 信息 给 在 线 商店 。 

(6) 在 线 商店 发 送 订单 确认 信息 给 消费 者 。 消 费 者 端 软 件 可 记录 交易 日 志 , 以 备 将 
来 查询 。 

(7) 在 线 商店 发 送 货物 或 提供 服务 并 通知 收 单 银 行将 钱 从 消费 者 的 账号 转移 到 商店 
账号 ,或 通知 发 卡 银行 请 求 支付 。 在 认证 操作 和 支付 操作 中 间 一 般 会 有 一 个 时 间 间 隔 , 例 
如 ,在 每 天 的 下 班 前 请 求 银行 结 一 天 的 账 。 

SET 从 第 (3) 步 开始 起 作用 ,一 直到 第 (6) 步 ,在 处 理 过 程 中 ,通信 协议 .请 求 信息 的 
格式 数据 类 型 的 定义 等 SET 都 有 明确 的 规定 。 在 操作 的 每 一 步 ,消费 者 、 在 线 商店 、 支 
付 网 关 都 通过 CA( 认 证 中 心 ) 来 验证 通信 主体 的 身份 ,以 确保 通信 的 对 方 不 是 冒名 顶替 。 
所 以 ,也 可 以 简单 地 认为 SET 协议 充分 发 挥 了 认证 中 心 的 作用 ,以 维护 在 任何 开放 网 络 
上 的 电子 商务 参与 者 所 提供 信息 的 真实 性 和 保密 性 。 

由 于 SET 协议 提供 了 消费 者 .商家 和 银行 之 间 的 认证 ,确保 了 交易 数据 的 安全 性 、 完 
整 性 、 可 靠 性 和 交易 的 不 可 抵赖 性 ,特别 是 保证 不 将 消费 者 银行 卡号 暴露 给 商家 ,因此 
SET 协议 成 为 目前 公认 的 信用 卡 / 借 记 卡 的 网 上 交易 的 国际 安全 标准 。 

3. SET 与 SSL 协议 的 比较 

(1) 在 认证 要 求 方面 ,早期 的 SSL 并 没有 提供 商家 身份 认证 机 制 .虽然 在 SSL3. 0 中 
可 以 通过 数字 签名 和 数字 证 书 实 现 浏览 器 和 Web 服务 器 双方 的 身份 验证 ,但 仍 不 能 实现 
多 方 认证 ; 相 比 之 下 ,SET 的 安全 要 求 较 高 .所 有 参与 SET 交易 的 成 员 ( 持 卡 人 、 商 家 ,发 
卡 行 \ 收 单行 和 支付 网 关 ) 都 必须 申请 数字 证 书 进行 身份 识别 。 

(2) 在 安全 性 方面 ,SET 协议 规范 了 整个 电子 商务 活动 的 流程 ,从 持 卡 人 到 商家 ,到 
支付 网 关 , 到 认证 中 心 以 及 信用 卡 结算 中 心 之 间 的 信息 流 走向 和 必须 采用 的 加 密 、 认 证 都 
制定 了 严密 的 标准 ,从 而 最 大 限度 地 保证 了 商务 性 、 服 务 性 、 协 调 性 和 集成 性 。 而 SSL 只 
对 持 卡 人 与 商店 端的 信息 交换 进行 加 密 保护 ,SSL 可 以 看 作 是 用 于 传输 部 分 的 技术 规 
范 。 从 电子 商务 特性 来 看 ,SSL 并 不 具备 商务 性 、 服 务 性 、 协 调 性 和 集成 性 。 因 此 SET 的 
安全 性 比 SSL 高 。 

(3) 在 网 络 层 协议 位 置 方面 ,SSL 是 基于 传输 层 的 通用 安全 协议 ,而 SET 位 于 应 用 
层 , 对 网 络 上 其 他 各 层 也 有 涉及 。 

(4) 在 应 用 领域 方面 ,SSL 主要 是 和 Web 应 用 一 起 工作 ,而 SET 是 为 信用 卡 交 易 提 
供 安全 ,因此 如 果 电 子 商务 应 用 只 是 通过 Web 或 电子 邮件 , 则 可 以 不 要 SET。 但 如 果 电 
子 商务 应 用 是 一 个 涉及 多 方 交 易 的 过 程 , 则 使 用 SET 更 安全 、 更 通用 。 

SSL 协议 实现 简单 ,独立 于 应 用 层 协 议 , 大 部 分 内 置 于 浏览 器 和 Web 服务 器 中 ,在 
电子 交易 中 应 用 便利 。 但 SSL 是 一 个 面向 连接 的 协议 ,只 能 提供 交易 中 客户 与 服务 器 
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间 的 双方 认证 ,不 能 实现 多 方 的 电子 交易 。SET 在 保留 对 客户 信用 卡 认 证 的 前 提 下 增 
加 了 对 商家 身份 的 认证 ,安全 性 进一步 提高 。 由 于 两 协议 所 处 的 网 络 层次 不 同 ,为 电 
子 商务 提供 的 服务 也 不 相同 ,因此 在 实践 中 应 根据 具体 情况 来 选择 独立 使 用 或 两 者 混 
合 使 用 。 


4.5 实 训 : 数字 证 书 的 申请 与 应 用 


1. 数字 证 书 的 基本 概念 

数字 证 书 是 用 电子 手段 来 证 实用 户 的 身份 及 用 户 对 网 络 资源 的 访问 权限 。 数 字 证 书 
包含 用 户 身份 信息 .用 户 公 钥 信 息 以 及 证 书 发 行 机构 对 该 证 书 的 数字 签名 信息 。 数 字 证 
书 是 利用 电子 信息 技术 手段 ,确认 鉴定 .认证 因特网 上 信息 交流 参与 者 的 身份 或 服务 器 
的 身份 ,是 一 个 用 来 担保 个 人 、 计 算 机 系统 或 者 组 织 的 身份 ,并 且 发 布 加 密 算法 类 别 、 公 开 
密 钥 及 其 所 有 权 的 电子 文档 。 

数字 证 书 可 用 于 发 送 电子 邮件 .访问 站 点 ` 网 上 证 券 交 易 .网 上 购物 `. 网 上 办 公 、 网 上 
银行 和 网 上 签约 等 安全 电子 事务 处 理 和 安全 电子 交易 活动 。 

数字 证 书 由 数字 认证 中 心 (Certificate Authority,CA) 发行, 该 机 构 负 责 在 发 行 数字 
证 书 之 前 ,证 实 个 人 或 组 织 身 份 和 密 钥 所 有 权 。 一 般 情况 下 ,证书 要 由 社会 上 公认 的 、 公 
正 的 、 第 三 方 的 可 靠 组 织 发 行 。 数 字 证 书 要 通过 CA 中 心 来 验证 真 伪 , 并 逐 级 往 上 验证 各 
级 认证 机 构 数字 证 书 的 真 伪 。 各 级 认证 机 构 是 按 根 认 证 机 构 (Root CA)、 品 牌 认证 机 构 
(Brand CA) 以 及 持 卡 人 、 商 户 或 收 单 银 行 支付 风头 认证 机 构 由 上 而 下 按 层 次 结构 建 
立 的 。 

2. 申请 数字 证 书 

目前 ,世界 上 已 经 建立 了 许多 CA 认证 中 心 ,这些 CA 的 规模 .用 户 数量 技术 实力 、 
社会 信赖 度 等 存在 着 差别 。 中 国 近 年 来 的 电子 商务 发 展 较 快 ,各 银行 的 网 络 银行 服务 也 
随 之 发 展 起 来 ,信用 卡 网 络 支 付 、 网 络 银行 .网 上 转账 等 业务 已 被 越 来 越 多 的 客户 接受 和 
应 用 ; 同时 越 来 越 多 的 CA 认证 中 心 也 在 中 国 建立 起 来 ,为 中 国电 子 商务 与 金融 信息 化 
的 发 展 提供 服务 。 下 面 以 中 国 数字 认证 网 申请 免费 数字 证 书 为 例 ,介绍 数字 证 书 的 申请 

中 国 数字 认证 网 能 提供 数字 认证 服务 ,可 用 于 安全 电子 邮件 、 服 务 器 身份 认证 、 客 户 
身份 认证 ,代码 签名 等 服务 。 中 国 数字 认证 网 的 网 站 地 址 为 http://www. ca365. com, 中 
国 数字 认证 网 界面 如 图 4-8 所 示 。 

(1) 安装 根 证 书 

Q@ 访问 中 国 数 字 认 证 网 主页 时 ,如 果 客 户 端 没有 安装 根 证 书 , 系 统 会 提示 用 户 自动 
安装 根 证 书 , 用 户 一 定 要 按照 系统 提示 选择 正确 的 安装 。 如 果 不 能 自动 安装 根 证 书 可 以 
手动 安装 根 证 书 。 在 中 国 数字 认证 网 主页 的 “免费 证 书 ” 中 单 击 * 根 CA 证 书 ”, 弹 出 “文件 
下 载 一 安全 警告 ?对话 框 中 单 击 ,如 图 4-9 所 示 。 

@ 鼠标 单 击 “ 打 开 ” 按 钮 .弹出 “证 书 ” 对 话 框 ,如 图 4-10 所 示 。 

@ 单 击 “ 安 装 证 书 ” 按 钮 ,弹出 “证 书 导 入 向 导 ” 对 话 框 ,如 图 4-11 所 示 。 


区 中 国 数字 认证 网 - Hicrosoft Internet Ezplorer 
文件 时】 蝙 辑 革 ) 查看 QD 收 着 地) 工具 CI 帮助 0D 


Gomme- 日- 国 轿 给 肛交 mx 如 


数字 认证 网 


S 用 PKCS10 文 件 中 请 证 书 9 用 表格 申请 证 书 
外 根 cA 证 书 加 果 您 是 第 一 次 访问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 
者 证书 吊销 列表 。 发 布 时 间 : 2006-6-25 11:25:50 


DDE 

3 证书 查询 > 用 PKCS10 文 件 中 请 证 书 > > 用 表格 中 请 证 书 > 
寻根 cA 证书 加 果 您 是 第 一 次 访问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 
才 ”证书 吊销 列表 。 发 布 时 间 ; 2006-6-25 11:19:12 


(SDVE 
* 证书 查 询 > 用 PKCS10 文 件 中 请 证 书 > 用 表格 申请 证 书 > 


省 根 cA 证 书 加 果 您 是 第 一 次 访问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 
下。 证书 吊销 有 列表。 发布 时 间 : 2006-6-26 10;46:14 


3 证 书 查询 > 3 用 PKCS10 文 件 申 请 证 书 > 3 用 表格 申请 证 书 > 


韦 根 cA 证 书 加 果 效 是 第 一 次 访问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 
寺 ”证书 吊销 列表 。 发 布 时 间 : 2006-6-25 13:27:40 


版 权 所 有 严禁 捞 由 


国 Internet 


图 4-8 中 国 数字 认证 网 界面 


斋 珊 “| 吝 细 信息 | 证书 口径 
证 书信 息 
i 二 


文件 下 载 


您 烟 打 开 或 保存 此 文件 吗 ? 颁发 给 : 。 ChA365 Free Root Certificate 


名 称 : rootFree cer 
图 类 型 ， 安全 证 书 ，1.33 好 绍 发 者 : 。 Ch365 Free Root Certificate 
发 送 者 :root ca365 com 


有 效 起 始 日 期 2001-5-12 到 2031-5-5 


[E:T 
os 来自 Ss 的 廊 件 可 能 对 小 有 所 逢 助 但 此 女 件 关 开 可 
外 台 7 局 要 条 神 人 


二 加 果 候 个 信任 县; 


图 4-9 安装 根 证 书 图 4-10 根 证 书信 息 


@ 单 击 “ 下 一 步 " 按 钮 ,弹出 “证 书 导入 向 导 ” 对 话 框 ,如 图 4-12 所 示 。 
加 单 击 “ 完 成 "按钮 ,弹出 “安全 警告 对话 框 ,如 图 4-13 所 示 。 
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148 证 书 导入 向 导 
欧 迎 使 用 证 书 导 入 向 导 


DE 


电 证 蔬 鳞 发 机 构 版 发 的 证 书 是 确 愉 任 的 身份 的 文件 ， 
它 合 有 用 来 保护 数据 或 建立 安全 网 络 连 接 的 信息 。 证 
书 存储 是 保 仔 证 书 的 系统 区 域 。 


要 奴 续 ,请 单 击 “ 下 一 步 ”。 


图 4-11 “证 书 导入 向 导 ” 对 话 框 


正在 完成 证 书 导入 向 导 


您 已 成 功 地 充 成 证 书 导入 向 导 - 


您 已 指定 下 列 设置 
这 二 的 还 书 存储 被 向导 自动 决定 
内 容 证 书 


EE [CRWm 
图 4-12 “证 书 导 入 向 导 ” 对 话 框 


A 您 即将 从 一 个 声称 代表 如 下 的 证 书 颁发 机 构 安 装 证 书 
CA38S Free Root Certificate 


Yindors 不 能 书 是 否 来 自 “CA365 Free Root Certificate"。 您 应 设 与 "CA365 Free Roo 
tt i i 人 


指 统 (shal); 0C3C2401 E5DB6E59 AOTEPSD9 D6TCF10D SBPA9526 


省 
入 zi 书 ， fipders 村 自动 信任 所 有 此 CA 二 发 的 证 节 。 安装 天 经 指 坟 确 认 的 证 书 有 安全 风险 。 
加 果 您 单 击 “ 是 ”， 表 示 您 知道 此 反 险 。 


你 想 安装 此 证 书 吗 ? 


是 员 | 二 


图 4-13 “安全 警告 "对 话 框 


@ 单 击 “ 是 ”按钮 .弹出 提示 框 ,如 图 4-14 所 示 。 

@ 单 击 “ 确 认 ” 按 钮 , 根 证 书 成 功 安装 。 

@ 打开 浏览 器 窗口 ,选择 “工具 ”一 “Internet 选项 "命令 ,打开 
“Internet 选项 对话 框 的 “内容 ? 选 项 卡 , 单 击 * 证 书 ? 按 钮 .弹出 “证 
书 ” 对 话 框 ,打开 “受信 任 的 根 证 书 颁发 机 构 ” 选 项 卡 ,列表 中 应 该 有 


i sem. 


图 4-14 成 功 提示 框 


相应 的 根 证 书 , 如 图 4-15 所 示 。 149 


了 8 目的 四 [> 
[下 人 了 款 闻 全 中 二 十 村 发 机 构 ] 过 合作 的 要 证书 二 发 机 构 | 受信 任 的 发 行者 【二 


18-6-24 
Certipeste Serveur 。 2018-6-24 

国 certisim - a. Certisi - hato... 2018-6-27 

国 cerkisim - 各 .. Certisien - hute 2018-6-27 ”Certisien Au. 

国 certisim Mato... Cortisign jatori 2018-6-27 ”Certisi mn An. 

国 certisim hate .Certisimm Matori, 2018-7-10 ”Certisimm An. 


到 | 


[3A® [5L® EET) 


证 书 的 预期 目的 
有 > 


图 4-15 系统 中 所 有 证 书 列表 


(2) 申请 免费 证 书 
J@ 在 中 国 数字 认证 网 主页 的 “免费 证 书 ” 中 单 击 * 用 表格 申请 证 书 ”, 在 如 图 4-16 所 
示 的 页 面 中 输入 证 书 的 信息 ,在 “电子 邮件 ”文本 框 中 一 定 要 输入 准备 为 电子 邮件 签名 的 


ry x 
文件 由 蚁 改色 ) 查看 收 臣 必 工具 CD) [3 
全 书 - 旭 国 国 内 有 Pe 对 [2 
地 相国 | 四 http: /rr eo365. con/ 辣 回 # 到 WER >” 
加 
贺 305 申请 免费 证 书 《请 关闭 “网际 快车 ”等 自动 下 载 工具 )》 
识别 信息 : 
有 看 
mm Ee 
aa 公司 : 尖 节 
部 门 : 证 
Wi 曾 
省 : 证 和 
国家 (地 区 ): 上 
电子 邮件 : [satestai65 eon 
网 址 : me 77 
证 书 期 限 : | 二 车 六 
习 | me: 


二子 部件 保护 证 书 可 


宣 饲 过 项 : 
加 密 服 务 提供 : [Werosoft Base CHFLOEaDNEE Provider vi 0 四 
于 铀 用 法 : 〇 交换 。 〇 答 和 。 全 两 者 


密 钢 大 小 : [512 | 外 太 售 : 汪 。 (你 才 WKf: si2 1024 ) 


新 窑 机 对 

口 设 受 容器 名 称 
口 使 用 现存 的 富家 对 
启用 严格 窑 误 保护 
回 标记 室 直 为 可 生出 


ED Cr 


图 4-16 输入 申请 人 注册 信息 
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150 ”电子 邮件 地 址 。 在 “证 书 用 途 ” 下 拉 列 表 框 中 根据 证 书 使 用 的 目的 来 选择 证 书 用 途 , 在 这 
里 选择 “电子 邮件 保护 证 书 ”。 
@ 单 击 “ 提 交 ” 按 钮 ,弹出 “潜在 的 脚本 冲突 对话 框 ,如 图 4-17 所 示 。 


' 此 网 站 正在 代表 您 请 求 一 个 新 的 证 书 。 您 应 该 只 区 许 傍 任 的 网 站 为 您 请 求证 书 。 
烽 起 现在 博 求 证 书 吗 ? 


4-17 确认 申请 证 书 


@ 单 击 “ 是 ”按钮 ,弹出 “正在 创建 新 的 RSA 交换 密 钥 "对 话 框 ,如 图 4-18 所 示 。 
外 单 击 “ 确 定 ” 按 钮 ,成 功 生成 个 人 电子 正在 创建 新 的 RSA 交 找 密 包 
邮件 保护 证 书 。 证 书 成 功 申请 后 系统 会 返回 ee 
用 户 的 证 书 序列 号 如 图 4-19 所 示 ,下载 证 书 司 
时 需要 提供 证 书 的 序列 号 。 > 
@ 在 “证 书 ” 对 话 框 的 “详细 信息 ”选项 Rs 
卡 里 可 以 看 到 证 书 的 序列 号 ,如 图 4-20 所 
示 , 单 击 “ 保 存 ” 按 钮 将 证 书 保存 到 磁盘 ,如 ee 
图 4-17、 图 4-18 所 示 。 在 “资源 管理 器 ”窗口 
中 双击 证 书 文件 ,也 可 以 打开 “证书 ”对 话 框 。 
@ 如 果 证 书 下载 后 成 功 安装 ,打开 浏览 
器 窗口 ,选择 “工具 ”>“Internet 选项 ”命令 ,打开 “Internet 选项 ”对 话 框 的 内容” 选项 
卡 , 单 击 “ 证 书 ” 按 钮 ,在 弹出 的 “证 书 ” 对 话 框 的 列表 中 应 该 有 相应 的 根 证 书 ,如 图 4-21 
所 示 。 


图 4-18 “正在 创建 新 的 RSA 交换 密 钥 ” 对 话 框 


济 中 国 数 字 认证 网 ~ Wicrosoft Internet Explorer 
文件 中) 编辑 区 ) 查看 WD 收藏 由 工具 人 ) 才 助 0D 
-昌国 国 约 re 认 Wmx @ 人 -号 


地 址 加) | 起 http://www_ ea385_ con/ 


喇 325 证 书 序列 号 ， 5DDD8008B99D082A 


2008 征 6 有 20 日 | 证 书 申请 已 经 发 布 给 您 ， 请 不 载 并 委 装 证 所 ) 


首 页 


[地 ] ( 适 用 Win9X 及 以 上 操作 系统 ) 


4-19 成功 生成 个 人 电子 邮件 保护 证 书 
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| 常规 | 评 组 信息 | 证 书 路 径 | 
显示 名 ): [所 有 > 


8 的 中 本 有 > 
个 人 [喜好 人 中 领证 书 闫 发 机 构 | 过 信任 的 根 证 书 癸 发 机 构 | 受信 任 的 发 行者 ] 所 于 


域 值 
国 &s 加 Ee I 


ee shalRSA 了 了 


| CA365 Free Root Certifi 
园 育 效 志 好 日 其 2006 年 6 月 30 日 下 午 13:32:52 
加 有 效 终止 日 其 2007 年 8 月 30 日 下 午 13:32:52 
加 =e 


证 书 ， 证 书 ， 证 书 ， 证 书 , 


5d 08 9 od 08 2 


[入 四] [Su ] (NM 


证 书 的 预 央 目的 
客户 庄 验 证 


图 4-20 个 人 证 书信 息 图 4-21 系统 已 经 导入 的 证 书 列表 


(3) 使 用 个 人 数字 证 书 

@ 在“ 证书” 对 话 框 中 选择 所 要 证 书 , 单 击 * 导 出 ”按钮 ,弹出 “证 书 导 出 向 导 ” 对 话 框 ， 
如 图 4-22 所 示 。 

私 钥 为 用 户 个 人 所 有 ,不 能 泄露 给 其 他 人 ,和 否则 别人 可 以 用 该 私 钥 以 您 的 名 义 签名 。 
如 果 是 为 了 保留 证 书 备份 而 复制 证 书 , 选 择 * 是 ,导出 私 钥 ” 单 选 按钮 。 如 果 是 为 了 让 其 他 
人 为 给 自己 发 送 加 密 邮 件 或 有 其 他 用 途 , 不 要 导出 私 钥 , 选 择 “ 不 ,不 要 导出 私 钥 " 单 选 按 
钮 。 如 果 在 申请 证 书 网 页 中 没有 选择 “标记 密 钥 为 可 导出 " 复 选 框 , 则 不 能 导出 私 钥 。 

加 单 击 “下 一 步 ? 按 钮 ,在 如 图 如 4-23 所 示 的 对 话 框 中 输入 私 钥 保 护 密码 。 如 果 在 
申请 证 书 网 页 中 没有 选择 “启用 严格 密 钥 保 护 ” 复 选 框 , 则 没有 密码 提示 。 


证 书 导出 向 导 


导出 航 铀 
人 可 以 过 择 格 私 负 中正 书 一 起 导出 - 


WP。 加 有 要 1 和 M8BR 主 书 一 起 5 出， 作 必 须 在 后 耐 一 页 上 键入 


要 将 私 负 限 证 书 一 起 导出 中? 
OR FH 
口 不 , 不 要 出 和 和 钥 叫 


图 4-22 导出 私 钥 和 证 书 图 4-23 输入 密码 保护 


加 单 击 * 下 一 步 ? 按 钮 ,在 弹出 的 对 话 框 的 “文件 名 ”文本 框 中 输入 用 户 想 保存 的 个 人 
数字 证 书 的 文件 名 ,或 单 击 * 浏 览 ? 按 钮 在 弹出 的 对 话 框 中 选择 想 要 保存 的 目录 , 按 提示 进 
行 操作 ,如 图 4-24 所 示 。 


全 “.... 计算 机 网 络 管理 与 安全 


是 有 (4) 用 个 人 数字 证 书 完 成 Outlook Express 发 送 签名 邮件 
发 送 签名 邮件 前 必须 正确 安装 了 自己 的 电子 邮件 保护 证 书 ( 要 使 用 的 电子 邮件 必须 
与 申请 证 书 时 填写 的 电子 邮件 一 致 ) 。 
Oa 在 Outlook Express* 工 具 ” 菜 单 中 选择 “账户 ”命令 ,打开 “Internet 账户 ”对 话 框 。 
@ 选择 账户 , 单 击 “ 属 性 ”按钮 。 在 该 账户 属性 对 话 框 的 “安全 ”选项 卡 中 单 击 “ 签 署 
证 书 ” 选 项 组 中 的 “选择 ”按钮 ,如 图 4-25 所 示 。 


合 pop3. 163. conm 性 
| 达 栅 | 服务 器 | 这 六 安全 [高 四 | 
签署 证 书 


从 下 囊 中 进 择 签名 证 书 。 这 格 决 定 在 用 这 个 帐户 签署 邮件 
时 所 使 用 的 数字 标识 。 


证 书 导 出 向 导 


to = 
加 论 首 选项 


ED i 


图 4-24 保存 导出 证 书 图 4-25 在 Outlook Express 中 签署 证 书 


@ 选择 证 书 , 单 击 “ 确 定 ” 按 钮 .如 图 4-26 所 示 。 

发 送 邮 件 时 在 “新 邮件 "窗口 的 “工具 ”菜单 中 选择 “数字 签名 "命令 ,“ 收 件 人 ”文本 框 
后 面 出 现 “ 签 名 ”标志 。 在 该 文本 框 中 输入 对 方 邮件 地 址 及 其 他 信息 , 单 击 “ 发 送 ” 按 钮 发 
送 邮件 ,如 图 4-27 所 示 。 


文件 四 揣 辑 下 ) 


% 


选择 里 认 帐 户 数字 ID 


图 4-26 导入 要 签名 的 证 书 图 4-27 发 送 新 邮件 签名 
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Ea 
4.6 本 章 小 结 


密码 技术 是 信息 安全 的 核心 技术 .本章 介绍 了 加 密 算法 、 密 钥 管 理 、 数 字 签 名 及 报 文 
鉴别 等 常用 技术 。 通 过 密码 技术 可 以 加 强 网 络 中 传输 数据 的 安全 ,从 而 提高 网 络 的 安全 。 
本 章 要 求 掌握 加 密 算法 的 种 类 、 密 钥 分 配 与 管理 方法 及 数字 签名 的 实现 过 程 等 内 容 , 对 于 
密码 技术 在 电子 商务 中 的 应 用 要 求 了 解 即 可 。 


4.7 本 章 习 题 


. 简 述 对 称 性 加 密 和 非 对 称 性 加 密 的 主要 特点 。 

. 简 述 数字 签名 的 实现 思想 。 

. 简 述 报 文摘 要 的 主要 原理 。 

. 到 相关 网 站 申请 数字 证 书 , 并 在 电子 邮件 中 加 以 应 用 。 


上 mo 
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系统 安全 


【本 章 内 容 】 

本 章 主要 学 习 加 强 计 算 机 网 络 系统 安全 的 基本 方法 及 常用 的 技术 手段 ,Kerberos 
认证 ,访问 控制 .防火 墙 技 术 、 防 计算 机 病毒 技术 及 黑客 的 攻防 技术 等 。 和 希望 通过 学 习 
为 进一步 的 应 用 打下 良好 的 基础 。 

【本 童 重点】 

O@ 熟悉 Windows 2003 在 域 模式 下 加 强 系统 安全 性 的 主要 方法 。 

回 掌握 计算 机 病毒 的 工作 过 程 及 常用 的 反 病 毒 技术 。 

@ 掌握 防火 墙 的 工作 原理 及 体系 结构 。 

图 了 解 黑 客 的 攻击 过 程 及 常用 攻击 方法 。 


加 强 计算 机 网 络 系统 的 安全 性 ,除了 加 强 计算 机 网 络 中 传输 的 数据 的 安全 性 之 外 ,还 
要 加 强 计算 机 网 络 中 的 软件 和 硬件 的 安全 性 。 可 以 从 网 络 体系 结构 的 角度 对 各 层 协 议 的 
安全 性 进行 加 强 ; 也 可 以 从 系统 运行 软件 的 角度 对 各 种 软件 的 安全 性 进行 加 强 ; 还 可 以 
针对 常见 的 破坏 活动 ,进行 安全 的 防范 等 。 在 本 章 中 仅 介 绍 一 些 常 用 的 基本 技术 , 即 
Windows 2003 操作 系统 提高 安全 性 的 主要 方法 、 防 火 墙 技术 、 防 计算 机 病毒 技术 及 黑客 


5.1 Windows 2003 操作 系统 的 安全 性 


操作 系统 是 计算 机 网 络 系统 配置 的 最 重要 的 软件 ,在 整个 计算 机 系统 中 处 于 中 心地 
位 。 操 作 系 统 的 安全 与 否 ,是 整个 计算 机 网 络 系统 安全 性 的 决定 因素 之 一 。 下 面 就 介绍 
Windows 2003 在 域 工作 模式 下 提高 安全 性 的 主要 技术 。 

511 Kerberos 身份 认证 


当 网 络 用 户 对 计算 机 网 络 中 的 资源 进行 访问 时 ,系统 首先 进行 的 就 是 身份 认证 ,只 有 
被 认定 为 合法 的 客户 才 有 可 能 进行 资源 的 访问 。Windows 2003 在 域 模式 下 采用 了 
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Kerberos 身份 认证 ,保证 一 次 登录 便 可 进行 全 部 访问 。 下 面 进行 简单 的 介绍 。 
Kerberos 为 网 络 通信 提供 可 信 的 面向 开放 系统 的 认证 服务 。 当 用 户 (client) 申 请 得 


到 某 服务 程序 (server) 的 服务 时 ,用 户 和 服务 程序 

会 首先 向 Kerberos 要 求 认证 对 方 的 身份 ,认证 建 Ce 

立 在 用 户 和 服务 程序 对 Kerberos 的 信任 的 基础 区 ee 

上 。 在 申请 认证 时 ,client 和 server 都 可 看 成 是 Ce 一人) 
Kerberos 认证 服务 的 用 户 , 认 证 双方 与 Kerberos 和 Se 
的 关系 如 图 5-1 所 示 。 图 5-1 身份 验证 关系 图 


当 用 户 登 录 到 工作 站 时 ,Kerberos 对 用 户 进 行 初始 认证 ,通过 认证 的 用 户 可 以 在 整 
个 登录 时 间 内 得 到 相应 的 服务 。Kerberos 既 不 依赖 用 户 登 录 的 终端 ,也 不 依赖 用 户 所 请 
求 的 服务 的 安全 机 制 , 而 是 由 Kerberos 本 身 提供 的 认证 服务 器 来 完成 用 户 的 认证 工作 。 
下 面 介绍 一 下 Kerberos 认证 的 过 程 。Kerberos 的 一 些 常用 术语 的 简写 如 表 5-1 所 示 。 

表 5-1 常用 术语 缩写 


简 写 实际 意义 简 写 实际 意义 
必 用 户 (client) Kx x 的 私有 密 钥 
s 服务 程序 (server) Kxsy x 和 y 的 会 话 密 钥 
addr 用 户 的 网 络 地 址 {abc} Kx 用 Kx 加 密 abc 
ticket 令 牌 ,用 于 声明 用 户 有 效 性 Txvy x 请求 使 用 y 的 ticket 
life ticket 保持 有 效 的 时 间 Ax x 的 标识 符 (authenticator) 
tgs, TGS 票证 服务 器 ws 工作 站 


AS 认证 服务 程序 


Kerberos 有 两 种 证 书 (crendentials) : ticket 和 authenticator。 这 两 种 证 书 均 使 用 密 
钥 加 密 , 但 加 密 的 密 钥 不 同 。 

ticket 用 来 在 认证 服务 器 和 用 户 请 求 的 服务 之 间 传 递 用 户 的 身份 ,同时 也 传递 附加 信 
息 来 保证 使 用 ticket 的 用 户 必 须 是 ticket 中 指定 的 用 户 。ticket 的 组 成 部 分 ,如 图 5-2 
所 示 。 


Te,s={s,c,addr, timestamp, life, Ks,c)} Ks; 


图 5-2 令 牌 构成 


ticket 由 client 和 server 的 名 字 、client 的 地 址 、. 时 间 戳 .生存 时 间 、 会 话 密 钥 5 部 分 
组 成 。ticket 一 旦 生成 ,在 life 指定 的 时 间 内 可 以 被 client 多 次 使 用 来 申请 同一 个 server 
的 服务 。 

authenticator 则 提供 信息 与 ticket 中 的 信息 进行 比较 ,保证 发 出 ticket 的 用 户 就 是 
ticket 中 指定 的 用 户 。authenticator 的 组 成 部 分 .如 图 5-3 所 示 。 


Ac={c,addr,timestamp} Ks,cs 


图 5-3 标识 符 的 构成 
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authenticator 由 client 的 名 字 、client 的 地 址 、 记 录 当 前 时 间 的 时 间 惟 3 部 分 组 成 。 
authenticator 只 能 在 一 次 服务 请 求 中 使 用 ,每 当 client 向 server 申请 服务 时 ,必须 重新 生 
成 authenticator。 

用 户 c 请 求 服务 s 的 整个 Kerberos 认证 协议 如 图 5-4 所 示 。 

(1) 用 户 c 得 到 初始 化 令 牌 Tc,tgs 

登录 时 用 户 输入 用 户 名 后 ,系统 会 向 认证 服务 器 (authentication server) 发 送 一 条 包 
含 用 户 和 tgs(ticket granting server) 服 务 两 者 名 字 的 请 求 。 认 证 服务 器 检查 用 户 是 否 有 
效 , 如 果 有 效 , 则 随机 产生 一 个 用 户 用 来 和 tgs 通信 的 会 话 密 钥 Ke,tgs. 然 后 创建 一 个 令 
牌 Tec,tgs, 令 牌 中 包含 用 户 名 \tgs 服务 名 、 用 户 地 址 、 当 前 时 间 、 有 效 时 间 , 还 有 刚才 创建 
的 会 话 密 钥 ,然后 将 令 牌 用 Ktgs 加 密 。 认 证 服务 器 向 用 户 发 送 加 密 过 的 令 牌 {Tec, tgs) 
Ktgs 和 会 话 密 钥 Ke,tgs, 发 送 的 消息 用 只 有 用 户 和 认证 服务 器 知道 的 Kc 来 加 密 ,Ke 的 
值 基于 用 户 的 密码 ,用 户 与 AS 之 间 的 数据 交换 .如 图 5-5 所 示 。 


一 Cas) 


Cn) (me) CD {Kc,tgs{Te,tgs}Ktgs} Ke Gs) 


图 5-4 ”Kerberos 认证 协议 图 5-5 ”用 户 与 AS 之 间 的 数据 交换 


用 户 工 作 站 收 到 认证 服务 器 回应 后 ,就 会 要 求 用 户 输入 密码 ,将 密码 转化 为 DES 密 
钥 Ke, 然 后 将 认证 服务 器 发 回 的 信息 解 开 , 将 令 牌 和 会 话 密 钥 保 存 用 于 以 后 的 通信 ,为 了 
安全 ,用 户 密码 和 密 钥 Ke 则 被 删 掉 。 

当 用 户 的 登录 时 间 超 过 了 令 牌 的 有 效 时 间 时 ,用 户 的 请 求 就 会 失败 ,这 时 系统 会 要 求 
用 户 通 过 kinit 程序 重新 申请 令 牌 Tc,tgs。 用 户 运行 klist 命令 可 以 查看 自己 所 拥有 的 令 
牌 的 当前 状态 。 

(2) 用 户 c 从 tgs 得 到 所 请 求 服务 s 的 令 牌 Tc,s 

一 个 令 牌 只 能 申请 一 个 特定 的 服务 ,所 以 用 户 必 须 为 每 一 个 服务 s 申请 新 的 令 牌 ,用 
户 可 以 从 tgs 处 得 到 令 牌 Tc.s。 

用 户 程 序 首先 向 tgs 发 出 申请 令 牌 的 请 求 .请 求 信 息 中 包含 s 的 名 字 、 得 到 的 请 求 
tgs 服务 的 加 密令 牌 {Tc,tgs} Ktgs, 还 有 加 密 过 的 Authenticator 信息 {Ac}Kc,tgs,Kc， 
tgs 就 是 第 (1) 步 得 到 的 会 话 密 钥 。 

tgs 得 到 请 求 后 ,用 密 钥 和 会 话 密 钥 解 开 请 求 得 到 Tc,tgs 和 Ac, 根 据 两 者 的 信息 鉴 
定 用 户 身 份 是 否 有 效 。 如 果 有 效 ,tgs 生成 用 于 c 和 s 之 间 通 信和 的 会 话 密 钥 Ke,s, 并 生成 
用 于 c 申请 得 到 s 服务 的 令 牌 Tc,s, 其 中 包含 c 和 s 的 名 字 、c 的 网 络 地 址 、 当 前 时 间 、 有 
效 时 间 和 刚才 产生 的 会 话 密 钥 。 令 牌 Tc,s 的 有 


CD {s,{Te,tgs}Ktgs, {Ac}Kc,tes} CE) 
效 时 间 是 初始 令 牌 Tc,tgs 剩余 的 有 效 时 间 和 所 Cien) Ce > 
申请 的 服务 默认 有 效 时 间 中 最 短 的 时 间 。 用 户 CD {{Tes}Ks Ke,s}Ke,tes Ce ) 


与 tgs 之 间 的 数据 交换 ,如 图 5-6 所 示 。 
tgs 最 后 将 加 密 后 的 令 牌 {Tce,s) Ks 和 会 话 图 5-6 用 户 与 tgs 之 间 的 数据 交换 
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密 钥 Ke,s 用 用 户 和 tgs 之 间 的 会 话 密 钥 加 密 后 发 送 给 用 户 。 用 户 c 得 到 回答 后 ,用 Ke， 
tgs 解密 ,得 到 所 请 求 的 令 牌 和 会 话 密 钥 。 

(3) 用 户 c 利用 得 到 的 令 牌 Ke,s 申请 服务 s。 用 户 申请 服务 s 的 工作 与 第 (2) 步 相 
似 ,只 不 过 申请 的 服务 由 tgs 变 为 s。 

用 户 首先 向 s 发 送 包含 加 密令 牌 {Tc,s}Ks 和 {Ac)Ke,s 的 请 求 ,s 收 到 请 求 后 将 其 
分 别 解 密 ,并 比较 得 到 的 用 户 名 、 网 络 地 址 、 时 间 等 信息 ,判断 请 求 是 否 有 效 。 用 户 和 服务 
程序 之 间 的 时 钟 必须 同步 在 几 分 钟 的 时 间 段 内 , 当 请 求 的 时 间 与 系统 当前 时 间 相 差 太 远 
时 ,认为 该 请 求 是 无 效 的 ,以 免 遭 到 重 放 攻击 。 为 了 防止 重 放 攻 击 ,s 通常 保存 一 份 最 近 
收 到 的 有 效 请 求 的 列表 , 当 收 到 一 份 请 求 与 已 经 收 到 的 某 份 请 求 的 令 牌 和 时 间 完 全 相同 
时 ,认为 此 请 求 无 效 。 

当 c 也 想 验 证 s 的 身份 时 ,s 将 收 到 的 时 间 惟 CE > {Ac}Ke,s, {Te,s}Ks CD 
加 1, 并 用 会 话 密 钥 加 密 后 发 送 给 用 户 , 用 户 收 到 < Cee 
回答 后 ,用 会 话 密 钥 解密 来 确定 s 的 身份 ,服务 器 {lmestamptl} Kes 
与 客户 机 之 间 的 数据 交换 ,如 图 5-7 所 示 。 we 

通过 上 面 3 步 之 后 ,用 户 c 和 服务 s 互相 验证 
了 彼此 的 身份 ,并 且 拥 有 只 有 c 和 s 两 者 知道 的 会 话 密 钥 Ke,s,c 和 s 以 后 的 通信 都 可 以 
通过 该 会 话 密 钥 得 到 保护 。 
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当 用 户 成 功 登 录 到 系统 后 .用 户 就 领 到 了 一 张 身份 证 件 , 而 系统 中 各 种 资源 都 包含 控 
制 用 户 访问 的 控制 信息 。 当 用 户 访 问 资源 时 .系统 将 对 比 资源 的 访问 控制 信息 和 用 户 的 
身份 证 件 , 以 确定 用 户 是 否 有 权 访 问 资源 ,以 及 访问 权限 是 什么 。 

1. 安全 标识 符 SID (Security Identifier) 

SID 是 标识 用 户 、 组 和 计算 机 账户 的 惟一 的 号 码 。 在 第 一 次 创建 该 账户 时 ,将 给 网 络 
上 的 每 一 个 账户 发 布 一 个 惟一 的 SID。Windows 2003 中 的 内 部 进程 将 引用 账户 的 SID 
而 不 是 账户 的 用 户 名 或 组 名 。 如 果 先 创建 账户 ,再 删除 账户 ,然后 使 用 相同 的 用 户 名 创建 
另 一 个 账户 , 则 新 账户 将 不 具有 授权 给 前 一 个 账户 的 权力 或 权限 ,原因 是 该 账户 具有 不 同 
的 SID 号 。 安 全 标识 符 也 被 称 为 安全 ID 或 SID。 

用 户 通过 验证 后 ,登录 进程 会 给 用 户 一 个 访问 令 牌 ,该 令 牌 相当 于 用 户 访问 系统 资源 
的 票证 。 当 用 户 访问 系统 资源 时 ,将 访问 令 牌 提供 给 Windows, 然 后 Windows 检查 用 户 
访问 对 象 上 的 访问 控制 列表 。 如 果 用 户 被 允许 访问 该 对 象 .Windows 将 会 分 配给 用 户 适 
当 的 访问 权限 。 

访问 令 牌 是 用 户 在 通过 验证 的 时 候 由 登录 进程 提供 的 ,所 以 改变 用 户 的 权限 需要 注 
销 后 重新 登录 ,重新 获取 访问 令 牌 。 

如 果 存 在 两 个 同样 SID 的 用 户 ,这 两 个 账户 将 被 鉴别 为 同一 个 账户 。 如 果 上 账户 无 限 
制 增加 的 时 候 , 系 统 可 能 会 产生 同样 的 SID, 在 通常 的 情况 下 SID 是 惟一 的 。SID 由 计算 
机 名 、 当 前 时 间 、 当 前 用 户 状 态 线程 的 CPU 耗费 时 间 的 总 和 3 个 参数 决定 ,以 保证 SID 
的 惟一 性 。 
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一 个 完整 的 SID 包括 : 用 户 和 组 的 安全 描述 、48 位 的 ID 标识 \、 修 订 版 本 、 可 变 的 验 
证 值 ,例如 ,s-1-5-21-76985614-1876338704-322544478-1001。 

2. 访问 控制 

既然 用 户 登录 到 服务 器 上 ,就 可 以 对 照 基于 NTFS 文件 系统 的 任意 访问 控制 列表 
(DACL) 查 找 用 户 的 权限 。 当 一 个 用 户 试图 访问 一 个 文件 或 者 文件 夹 的 时 候 ,NTFS 文 
件 系统 会 检查 用 户 使 用 的 账户 或 者 账户 所 属 的 组 是 否 在 此 文件 或 者 文件 夹 的 访问 控制 列 
表 (ACL) 中 ,如 果 存 在 则 进一步 检查 访问 控制 项 (ACE) ,然后 根据 控制 项 中 的 权限 来 判 
断 用 户 最 终 的 权限 。 如 果 访 问 控制 列表 中 不 存在 用 户 使 用 的 账户 或 者 账户 所 属 的 组 ,就 
拒绝 用 户 访问 。 

(1) NTFS 权限 及 对 应 的 操作 

NTFS 权限 及 对 应 的 操作 如 表 5-2 所 示 。 


表 5-2 NTEFS 权限 及 对 应 的 操作 


NTFS 权限 对 应 的 操作 


完全 控制 对 文件 或 者 文件 夹 可 执行 所 有 操作 

修改 可 以 修改 ,删除 文件 或 者 文件 夹 

读 取 和 运行 可 以 读 取 内 容 , 并 且 可 以 执行 应 用 程序 

列 出 文件 夹 目录 可 以 列 出 文件 夹 内 容 , 此 权限 只 针对 文件 夹 存在 
读 取 可 以 读 取 文 件 或 者 文件 夹 的 内 容 

写 人 可 以 创建 文件 或 者 文件 夹 

特别 的 权限 其 他 不 常用 的 权限 ,比如 删除 权限 的 权限 


NTFS 的 所 有 权限 都 有 “允许 ”和 “拒绝 ”两 种 选择 ,如 图 5-8 所 示 。 

关于 权限 的 进一步 说 明 如 下 : 

O@O 新 建 的 文件 或 者 文件 夹 都 有 默认 的 NTFS 权限 ,如 果 没 有 特别 需要 ,一 般 不 用 改 。 
文件 或 者 文件 夹 的 默认 权限 是 继承 上 一 级 文件 夹 的 权限 ,如 果 是 根 目录 (比如 C:\) 下 的 
文件 夹 , 则 权限 是 继承 磁盘 分 区 的 权限 。 权 限 的 设置 在 如 图 5-9 所 示 的 对 话 框 中 进行 。 

企业 版 的 权限 项 目 


[ 富 坑 [共享 「 安 全 ”| 自 定义 允 | 
姐 或 用 户 名 称 (6) 该 权限 是 从 交 对 象 继 耳 采 的 。 


gE 
各 黎 0D -Naninistrator GJSTDWAdninistr | | 页 


应 用 到 四 ) 
权限 中) 
完全 短 害 


SG 


列 出 文件 天 / 读 职 数据 
hdninistrator 的 可 限于 ) 区 许 


访 职 尿 性 
读 职 扩展 属性 
创 哇 文件 / 写 入 数据 


oOooooo| 赔 
让 JOOOOOOOOOO 上 | 滞 


图 5-8 NTFS 权限 及 对 应 的 操作 图 5-9 权限 的 设置 
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设置 各 个 账户 以 及 组 对 当前 文件 或 者 文件 夹 的 权限 的 方法 很 简单 ,在 该 对 话 框 的 “名 
称 ” 下 拉 列 表 框 中 ,选择 要 修改 的 账户 或 者 组 ,在 “权限 ”列表 框 中 选择 合适 的 权限 就 行 了 。 
还 可 以 在 该 对 话 框 中 设置 一 些 特殊 权限 以 及 取得 文件 或 文件 夹 的 所 有 权 的 方法 。 

@ NTFS 权限 的 应 用 规则 。 如 果 一 个 用 户 同时 在 两 个 组 或 者 多 个 组 内 ,而 各 个 组 对 
同一 个 文件 有 不 同 的 权限 ,那么 这 个 用 户 对 这 个 文件 有 什么 权限 呢 ? 

简单 地 说 , 当 一 个 用 户 属于 多 个 组 的 时 候 , 这 个 用 户 会 得 到 各 个 组 的 累加 权限 ,但 是 
如 果 有 一 个 组 的 相应 权限 被 拒绝 , 则 用 户 的 此 权限 也 会 被 拒绝 。 

举例 来 说 ,假设 有 一 个 用 户 WZ, 如 果 WZ 属于 A 和 B 两 个 组 ,A 组 对 某 文 件 有 读 取 
权限 ,B 组 对 此 文件 有 写 入 权限 ,WZ 对 此 文件 有 修改 权限 ,那么 WZ 对 此 文件 的 最 终 权 
限 为 读 取 十 写 入 十 修改 权限 。 

假设 WZ 对 文件 有 写 人 权限 ,A 组 对 此 文件 有 读 取 权限 ,但 是 B 组 对 此 文件 为 拒绝 
读 取 权限 ,那么 WZ 对 此 文件 只 有 写 入 权限。 这 里 还 有 一 个 小 问题 ,WZ 对 此 文件 只 有 写 
入 权限 ,没有 读 取 权 限 ,那么 , 写 和 人 权限 有 效 么 ? 答案 很 明显 , WZ 对 此 文件 的 写 入 权限 无 
效 ,因为 不 能 读 取 怎么 写 人 ? 连 门 都 进 不 去 ,怎么 把 家 具 搬 进去 ? 

@ 权限 的 继承 。 新 建 的 文件 或 者 文件 夹 会 自动 继承 上 一 级 目录 或 者 驱动 器 的 
NTFS 权限 ,但 是 从 上 一 级 继承 下 来 的 权限 是 不 能 直接 修改 的 ,只 能 在 此 基础 上 添加 其 他 
权限 。 也 就 是 不 能 把 权限 上 的 勾 去 掉 ( 因 为 你 去 不 掉 ), 只 能 添加 新 的 勾 。 在 “属性 ”窗口 
中 灰色 的 框 为 继承 的 权限 ,是 不 能 直接 修改 的 ,白色 的 框 是 可 以 添加 的 权限 。 

当然 这 并 不 是 绝对 的 ,只 要 权限 够 ,比如 管理 员 , 也 可 以 把 这 个 继承 下 来 的 权限 修改 
了 ,或 者 让 文件 不 再 继承 上 一 级 目录 或 者 驱动 器 的 NTFS 权限 。 

@ 权限 的 拒绝 。 这 个 很 简单 ,只 要 记 住 ,拒绝 的 权限 是 最 大 的 就 行 了 。 无 论 给 账户 
或 者 组 设置 了 什么 权限 ,只 要 “拒绝 ” 复 选 框 被 选中 .那么 被 拒绝 的 权限 就 绝对 有 效 。 

名 移动 和 复制 操作 对 权限 的 影响 。 这 里 一 共有 4 种 情况 ,移动 或 复制 文件 ( 夹 ) 到 同 
一 或 者 不 同 分 区 内 。 只 需要 记 住 ,只 有 移动 到 同一 分 区 内 才能 保留 原来 设置 的 权限 ,否则 
权限 为 继承 目的 地 文件 夹 或 者 驱动 器 的 NTFS 车 
权限 。 

(2) 共享 权限 

共享 权限 只 有 3 种 : 读 取 、 更 改 和 完全 控制 。 
Windows Server 2003 默认 的 共享 文件 设置 权限 
是 Everyone 用 户 只 具有 读 取 权限 .如 图 5-10 所 
示 。Windows 2000 默认 的 共享 文件 设置 权限 是 
Everyone 用 户 具有 完全 控制 权限 。 

下 面 解释 一 下 3 种 权限 。 

。 读 取 权 限 是 指派 给 Everyone 组 的 默认 权 

限 。 除 此 之 外 Everyone 组 的 用 户 还 能 进 
行 如 下 操作 : 查看 文件 名 和 子 文件 夹 名 、 


区 许 拒绝 


5-10 ”共享 权限 
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查看 文件 中 的 数据 .运行 程序 文件 。 
。 更 改 权 限 不 是 任何 组 的 默认 权限 。 更 改 权限 除 允 许 所 有 的 读 取 权 限 外 ,还 增加 以 
下 操作 : 添加 文件 和 子 文件 夹 , 更 改 文件 中 的 数据 ,删除 子 文件 夹 和 文件 。 

。 完全 控制 权限 是 指派 给 本 机 上 的 Administrators 组 的 默认 权限 ,包括 读 取 及 更 改 

权限 。 

和 NTFS 权限 一 样 ,如 果 赋 予 某 用 户 或 者 用 户 组 拒绝 的 权限 , 则 该 用 户 或 者 该 用 户 
组 的 成 员 将 不 能 执行 被 拒绝 的 操作 。 

对 于 共享 文件 夹 应 注意 如 下 4 点 。 

@ 在 Windows 2000 中 ,共享 的 文件 夹 可 以 用 空 密码 用 户 访 问 ,但 是 在 Windows 
Server 2003 中 ,共享 的 文件 夹 不 可 以 用 空 密码 用 户 访 问 ,这 是 比较 常见 的 网 络 共享 无 法 
访问 的 问题 ,希望 注意 。 

@ 共享 权限 只 对 通过 网 络 访问 的 用 户 有 效 , 所 以 有 时 需要 和 NTFS 权限 配合 (如 果 
分 区 是 FAT/FAT32 文件 系统 , 则 不 需要 考虑 ) ,才能 严格 地 控制 用 户 的 访问 。 当 一 个 共 
享 文件 夹 设 置 了 共享 权限 和 NTFS 权限 后 ,就 要 受到 两 种 权限 的 控制 。 

@ 如 果 和 希望 用 户 能 够 完全 控制 共享 文件 夹 ,首先 要 在 共享 权限 中 添加 此 用 户 ( 组 )， 
并 设置 完全 控制 的 权限 ,然后 在 NTFS 权限 设置 中 添加 此 用 户 ( 组 ), 也 设置 完全 控制 权 
限 。 只 有 两 个 地 方 都 设置 了 完全 控制 权限 ,用 户 ( 组 ) 才 最 终 拥 有 完全 控制 权限 。 

@ 当 用 户 从 网 络 访问 一 个 存储 在 NTFS 文件 系统 上 的 共享 文件 夹 的 时 候 ,会 受到 两 
种 权限 的 约束 ,而 有 效 权限 是 最 严格 的 权限 (也 就 是 两 种 权限 的 交集 )。 而 当 用 户 从 本 地 
计算 机 直接 访问 文件 夹 的 时 候 ,不 受 共享 权限 的 约束 ,只 受 NTFS 权限 的 约束 。 同 时 还 
要 考虑 到 两 个 权限 的 冲突 问题 ,例如 .共享 权限 为 只 读 ,NTFS 权限 是 写 入 .那么 最 终 权 限 
是 完全 拒绝 ,因为 这 两 个 权限 的 组 合 权 限 是 两 个 权限 的 交集 。 


5.2 防火 墙 技术 

521 什么 是 防火 墙 

防火 墙 就 像 中 世纪 的 城堡 防卫 系统 , 那 时 人 们 为 了 保护 城堡 的 安全 ,在 城堡 的 周围 挖 一 
条 护城河 ,每 一 个 进入 城堡 的 人 都 要 经 过 吊桥 ,并 且 还 要 接受 城 门 守卫 的 检查 。 人 们 借鉴 了 
这 种 防护 思想 ,设计 了 一 种 网 络 安全 防护 系统 ,这 种 系统 就 被 称 为 防火 墙 ,如 图 5-11 所 示 。 

计算 机 网 络 中 的 防火 墙 技术 是 建立 在 现代 通信 技术 和 信息 安全 技术 基础 上 的 应 用 性 
安全 技术 ,应 用 于 内 部 网 络 与 外 部 网 络 的 中 间 , 保 障 内 部 网 络 的 安全 。 防 火 墙 可 以 在 用 户 
的 计算 机 和 因特网 之 间 建 立 一 道 屏障 ,把 用 户 和 外 部 网 络 隔绝 ; 用 户 可 以 通过 设 定 规则 
来 决定 哪些 情况 下 防火 墙 应 该 隔绝 计算 机 与 因特网 之 间 的 数据 传输 ,哪些 情况 下 允许 两 
者 之 间 的 数据 传输 。 通 过 防火 墙 挡住 外 部 网 络 对 内 部 网 络 的 攻击 和 入 侵 ,从 而 保障 用 户 
的 网 络 安全 。 

从 逻辑 上 讲 ,防火 墙 是 分 离 器 .限制 器 和 分 析 器 ,有 效 地 控制 了 内 部 网 络 和 因特网 之 
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间 的 任何 活动 ,保证 了 内 部 网 络 的 安全 。 在 计算 机 网 络 中 ,防火 墙 是 一 个 活动 的 屏障 ,并 
可 通过 一 个 “ 门 ”来 允许 用 户 在 安全 网 络 和 开放 的 不 安全 的 网 络 之 间 通 信 。 早 期 的 防火 墙 
是 由 一 个 单独 的 机 器 组 成 的 ,放置 在 私有 网 络 和 公 网 之 间 。 近 些 年 来 ,防火 墙 涉及 整个 从 
内 部 网 络 到 外 部 网 络 的 区 域 . 由 一 系列 复杂 的 机 器 和 程序 组 成 。 简 单 地 说 ,今天 的 防火 墙 
是 多 个 组 件 的 应 用 。 从 实现 形式 上 讲 , 防 火 墙 可 以 分 为 硬件 防火 墙 和 软件 防火 墙 ,硬件 防 
火 墙 是 通过 硬件 和 软件 的 结合 来 达到 隔离 内 、 外 部 网 络 的 目的 ; 软件 防火 墙 是 通过 纯 软 
件 的 方式 来 实现 的 。 

防火 墙 在 实施 安全 的 过 程 中 是 至 关 重要 的 。 一 个 防火 墙 策 略 要 符合 4 个 目标 ,而 每 
个 目标 通常 都 不 是 通过 一 个 单独 的 设备 或 软件 来 实现 的 。 大 多 数 情 况 下 防火 墙 的 组 件 放 
在 一 起 使 用 以 满足 公司 安全 目的 的 需求 。 

(1) 实现 一 个 公司 的 安全 策略 

防火 墙 的 主要 意图 是 强制 执行 你 的 安全 策略 。 在 前 面 的 课程 提 到 过 在 适当 的 网 络 安 
全 中 安全 策略 的 重要 性 。 举 个 例子 ,也 许 你 的 安全 策略 只 需 对 MAIL 服务 器 的 SMTP 流 
量 作 些 限制 ,那么 你 要 直接 在 防火 墙 强 制 这 些 策略 。 

(2) 创建 一 个 阻塞 点 

防火 墙 在 一 个 公司 私有 网 络 和 公 网 间 建 立 一 个 检查 点 ,要 求 所 有 的 流量 都 要 通过 这 个 
检查 点 。 一 旦 这 些 检 查 点 建立 起 来 ,防火墙 设备 就 可 以 监视 ,过滤 和 检查 所 有 进来 和 出 去 的 
流量 。 网 络 安全 产业 称 这 些 检查 点 为 阻塞 点 。 通 过 强制 所 有 进出 流量 都 通过 这 些 检查 点 ， 
网 络 管理 员 可 以 集中 在 较 少 的 地 方 来 进行 监测 。 如 果 没 有 这 样 一 个 供 监视 和 控制 信息 的 
点 ,系统 或 安全 管理 员 则 要 在 大 量 的 地 方 来 进行 监测 。 检 查 点 的 另 一 个 名 字 叫 做 网 络 边界 。 

(3) 记录 因特网 活动 

防火 墙 还 能 够 强制 日 志 记 录 ,并且 提供 警报 功能 。 通 过 在 防火 墙 上 实现 日 志 服 务 , 安 
全 管理 员 可 以 监视 所 有 从 外 部 网 或 互联 网 的 访问 。 好 的 日 志 策 略 是 实现 适当 网 络 安全 的 
有 效 工 具 之 一 。 防 火 墙 对 于 管理 员 进 行 日 志 存 档 提 供 了 更 多 的 信息 。 

(4) 限制 网 络 暴露 

防火 墙 在 内 部 网 络 周围 创建 了 一 个 保护 的 边界 ,并 且 对 于 公 网 隐藏 了 内 部 系统 的 一 
些 信 息 以 增加 保密 性 。 当 远程 节点 侦 测 内 部 网 络 时 .它们 仅仅 能 看 到 防火 墙 。 远 程 设 备 
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将 不 会 知道 内 部 网 络 的 布局 。 防 火 墙 可 以 通过 提高 认证 功能 和 对 网 络 加 密 来 限制 网 络 信 
息 的 暴露 。 通 过 对 所 有 进来 的 流量 进行 源 检查 ,以 限制 从 外 部 发 动 的 攻击 。 

防火 墙 的 缺点 主要 集中 在 以 下 4 点 。 

(1) 不 能 防范 恶意 的 知情 者 

如 果 入 侵 者 在 防火 墙 的 内 部 , 它 不 通过 防火 墙 就 可 以 删改 文件 ,盗窃 数据 ,破坏 软件 
和 硬件 。 这 种 情况 下 防火 墙 是 无 能 为 力 的 ,只 能 加 强 内 部 管理 来 防范 。 

(2) 不 能 防范 不 通过 它 的 连接 

如 果 内 部 网 被 允许 不 通过 防火 墙 ,而 通过 其 他 途径 进行 访问 ,那么 不 通过 防火 墙 的 非 
法 访问 不 能 被 防范 。 

(3) 不 能 防备 全 部 的 威胁 

防火 墙 可 以 用 来 防范 已 知 的 威胁 .但 不 能 防范 未 知 的 新 威胁 。 

(4) 不 能 防 病毒 

虽然 防火 墙 扫描 所 有 通过 的 信息 ,但 是 不 能 扫描 数据 的 确切 内 容 , 即 使 是 先进 的 数据 
包 过 滤 也 不 能 防范 数据 中 隐藏 的 病毒 。 
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1. 分 组 过 滤 技 术 

分 组 过 滤 技 术 是 防火 墙 应 用 的 最 基本 的 技术 ,可 以 用 来 实现 多 种 网 络 安全 策略 。 网 
络 安全 策略 必须 明确 描述 被 保护 的 资源 .服务 的 类 型 .重要 程度 以 及 防范 对 象 。 

首先 在 分 组 过 滤 装 置 的 端口 设置 分 组 过 滤 准 则 (分 组 过 滤 规 则 ) ,分 组 过 滤 的 规则 按 
一 定 的 顺序 存储 。 当 一 个 分 组 到 达 端 口 时 ,对 分 组 的 头 部 进行 分 析 , 大 多 数 分 组 过 滤 装 置 
只 检查 IP、 传 输 控 制 协议 (TCP) ,用户 数 据 报 文 协议 (UDP) 头 部 内 的 字段 。 然 后 根据 分 
组 过 滤 的 规则 来 决定 是 阻塞 该 分 组 还 是 继续 发 送 。 如 果 存 在 某 条 规则 阻塞 一 个 分 组 传递 
或 接收 , 则 不 允许 该 分 组 通过 。 如 果 存 在 某 条 规则 允许 或 接收 一 个 分 组 , 则 允许 该 分 组 通 
过 。 如 果 一 个 分 组 不 满足 任何 规则 , 则 该 分 组 被 阻塞 。 分 组 过 滤 原 理 如 图 5-12 所 示 。 

包 过 滤 路 由 器 


包 过 滤 
规则 | 


网 络 层 网 络 层 


旧 CJ 防火 墙 外 部 网 络 
U ET 站 


5-12 分 组 过 滤 原 理 示 意图 
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下 面 根据 一 个 简单 的 例子 来 说 明 分 组 过 滤 的 工作 原理 。 
有 一 个 内 部 网 A. 它 的 IP 地址 为 132. 36. X. 义 ,其 中 的 某 部 门 的 全 地 址 为 132. 36. 9. X。 
另 一 个 内 部 网 B 的 IP 地 址 为 112. 44.X.X, 其 中 的 某 部 门 IP 地 址 为 112. 44. 9.X, 该 部 门 
不 能 连接 到 A 的 内 部 网 ,允许 B 其 他 部 门 的 所 有 子 网 与 A 内 部 网 132. 36. 9. X 连接 ,但 
不 能 与 A 其 他 部 门 连接 。 过 滤 规 则 表 如 表 5-3 所 示 。 
表 5-3 过滤 规 则 表 


规则 源 地 址 目的 地 址 动作 
1 112. 44. X. X 132. 36. 9. X 允许 
2 112. 44. 9. 和 132. 36. X.X 拒绝 


0.0.0.0 0.0.0.0 


当 一 个 分 组 到 达 过 滤 端 口 时 ,分 别 用 过 滤 规 则 表 中 的 每 条 规则 对 分 组 进行 检查 ,符合 
规则 1 的 允许 通过 ,符合 规则 2 的 将 被 拒绝 ,不 允许 通过 。 表 中 的 规则 3 为 默认 值 ,也 就 
是 不 符合 规则 1 和 规则 2 的 其 他 分 组 将 被 拒绝 ,不 允许 通过 。 

根据 规则 表 可 以 得 到 以 下 结论 : 

对 于 分 组 1, 源 地 址 112. 44. 9. 1, 目 的 地 址 131. 36. 1.1, 则 拒绝 该 分 组 通过 。 

对 于 分 组 2, 源 地 址 112. 44. 1.1, 目 的 地 址 131. 36. 9.1, 则 允许 该 分 组 通过 。 

对 于 分 组 3, 源 地 址 112. 24. 1.1, 目 的 地 址 131. 36. 1. 1, 则 拒绝 该 分 组 通过 。 

一 个 分 组 过 滤 装 置 常 被 放置 于 一 个 或 几 个 网 段 与 其 他 网 段 之 间 。 网 段 通常 被 分 为 内 
部 网 段 和 外 部 网 段 , 外 部 网 段 用 来 连接 外 部 网 络 , 例 如 .因特网 ; 内 部 网 段 用 来 连接 一 个 
单位 或 组 织 内 部 的 主机 和 其 他 网 络 资源 。 

2. 应 用 代理 技术 

应 用 代理 实际 上 是 应 用 程序 代理 技术 ,是 建立 在 应 用 层 的 基础 上 .利用 应 用 程序 来 过 
滤 Telnet、FTP 等 服务 连接 ,这 样 的 应 用 软件 称 为 代理 服务 。 运 行 代理 服 务 的 主机 称 为 
应 用 网 关 , 代 理 服务 仅 允 许 在 应 用 网 关 有 代理 的 服务 通过 防火 墙 ,而 其 他 没有 代理 的 服务 
将 被 阻塞 。 代理 服 务 具 有 认证 和 很 强 的 日 志 功 能 。 

应 用 程序 代理 防火 墙 实际 上 并 不 允许 在 它 连接 的 网 络 之 间 直 接 通 信 。 代 理 服务 器 接 
受 来 自 内 部 网 络 特定 用 户 应 用 程序 的 通信 ,然后 建立 与 公共 网 络 服务 器 单独 的 连接 。 网 
络 内 部 的 用 户 不 直接 与 外 部 的 服务 器 通信 ,所 以 服务 器 不 能 直接 访问 内 部 网 的 任何 一 
部 分 。 

另外 ,如 果 不 为 特定 的 应 用 程序 安装 代理 程序 代码 ,这 种 服务 是 不 会 被 支持 的 ,不 能 
建立 任何 连接 。 这 种 建立 方式 拒绝 任何 没有 明确 配置 的 连接 ,从 而 提供 了 额外 的 安全 性 
和 控制 性 。 应 用 代理 示意 图 如 图 5-13 所 示 。 

例如 ,一 个 用 户 的 Web 浏览 器 可 能 在 80 端口 ,但 也 可 能 是 在 1080 端口 ,连接 到 了 内 部 
网 络 的 HTTP 代理 防火 墙 。 防 火 墙 接受 这 个 连接 请 求 , 并 把 它 转 到 所 请 求 的 Web 服务 器 。 

这 种 连接 和 转移 对 该 用 户 来 说 是 透明 的 ,因为 它 完全 是 由 代理 防火 墙 自动 处 理 的 。 
代理 防火 墙 通 常 支持 一 些 常 见 的 应 用 服务 ,如 HTTP、HTTPS/SSL、SMTP/POP3、 
IMAP.NNTP, Telnet\FTP IRC。 
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图 5-13 应 用 代理 示意 图 


应 用 程序 代理 防火 墙 可 以 配置 成 允许 来 自 内 部 网 络 的 任何 连接 ,也 可 以 配置 成 要 求 
用 户 认证 后 才 建 立 连接 。 要 求 认证 的 方式 有 只 为 已 知 的 用 户 建立 连接 这 种 限制 ,为 安全 
性 提供 了 额外 的 保证 。 如 果 网 络 受 到 危害 ,这 个 功能 使 得 从 内 部 发 动 攻击 的 可 能 性 大 大 
减少 。 

3. 监测 模型 技术 

监测 模型 技术 是 根据 因特网 和 内 部 网 络 关 联 的 需求 ,建立 其 控制 管理 的 模型 ,完成 信 
息 传 输 的 控制 与 管理 。 从 原理 上 讲 监测 模型 技术 对 所 有 的 协议 都 有 效 ,能 处 理 从 IP 层 到 
应 用 层 所 有 的 分 组 过 滤 数据 ,也 就 是 将 所 有 层 的 信息 综合 到 一 个 监测 点 上 进行 过 滤 。 一 
般 是 加 载 一 个 检测 模块 ,在 不 影响 网 络 正常 工作 的 前 提 下 ,检测 模块 在 网 络 层 截 取 数 据 
包 , 然 后 在 所 有 的 通信 层 上 抽取 有 关 的 状态 信息 , 据 此 判断 该 通信 是 否 符合 安全 策略 。 由 
于 监测 模型 技术 是 在 网 络 层 截获 数据 包 的 ,因此 可 以 支持 多 种 协议 和 应 用 程序 ,并 可 以 很 
容易 地 实现 应 用 的 扩充 。 
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最 简单 的 防火 墙 配置 ,就 是 直接 在 内 部 网 和 外 部 网 之 间 加 装 一 个 包 过 滤 路 由 器 或 者 
应 用 网 关 。 为 更 好 地 实现 网 络 安全 ,有 时 还 要 将 几 种 防火 墙 组 合 起 来 构建 防火 墙 系统 。 
目前 比较 流行 的 有 以 下 3 种 防火 墙 配置 方案 。 

1. 双 宿 主机 网 关 

双 宿 主机 网 关 是 用 一 台 装 有 两 个 网 络 适 配器 的 双 宿 主机 做 防火 墙 。 双 宿主 机 用 两 个 
网 络 适 配器 分 别 连 接 两 个 网 络 ,又 称 为 堡垒 主机 。 堡 垒 主机 上 运行 着 防火 墙 软件 (通常 是 
代理 服务 器 ) ,可 以 转发 应 用 程序 ,提供 服务 等 。 双 宿主 机 网 关 有 一 个 致命 弱点 ,一旦 人 侵 
者 侵入 堡垒 主机 并 使 该 主机 只 具有 路 由 器 功能 : 则 任何 网 上 用 户 均 可 以 随便 访问 有 保护 
的 内 部 网 络 ,如 图 5-14 所 示 。 

2. 屏蔽 主机 网 关 

屏蔽 主机 网 关 易 于 实现 ,安全 性 好 ,应 用 广泛 。 屏 项 主机 又 分 为 单 宿 堡 又 主机 和 双 宿 
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图 5-14 双 宿 主机 网 关 


堡 人 又 主机 两 种 类 型 。 在 单 宿 堡垒 主机 类 型 中 ,一 个 包 过 滤 路 由 器 连接 外 部 网 络 ,一 个 堡 令 
主机 安装 在 内 部 网 络 上 。 堡 公主 机 只 有 一 个 网 卡 ,与 内 部 网 络 连接 。 通 常 在 路 由 器 上 设 
立 过 滤 规 则 ,并 使 这 个 单 宿 堡垒 主机 成 为 从 因特网 上 惟一 可 以 访问 的 主机 ,确保 内 部 网 络 
不 受 未 被 授权 的 外 部 用 户 的 攻击 。 而 内 联网 内 部 的 客户 机 ,可 以 受 限 制 地 通过 屏蔽 主机 
和 路 由 器 访问 因特网 。 单 宿 堡垒 主机 如 图 5-15 所 示 。 


集线器 | 


包 过 滤 外 网 
路 由 器 


堡垒 主机 


| | 要 

工作 站 工作 站 工作 站 
图 5-15 单 宿 堡 又 主机 

双 宿 保佑 主 机 型 与 单 宿 堡 又 主机 型 的 区 别 是 . 双 宿 堡垒 主机 有 两 块 网 卡 ,一 块 连接 内 


部 网 络 ,一 块 连接 包 过 滤 路 由 器 。 双 宿 堡垒 主机 在 应 用 层 提 供 代理 服务 ,与 单 宿 型 相 比 更 
加 安全 。 双 宿 堡垒 主机 如 图 5-16 所 示 。 


外 网 


堡垒 主机 


图 5-16 ” 双 宿 堡垒 主机 
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3. 屏蔽 子 网 

屏蔽 子 网 是 在 内 联网 和 因特网 之 间 建 立 一 个 被 隔离 的 子 网 ,用 两 个 包 过 滤 路 由 器 将 
这 一 子 网 分 别 与 内 联网 和 因特网 分 开 。 两 个 包 过 滤 路 由 器 放 在 子 网 的 两 端 ,在 子 网 内 构 
成 一 个 “缓冲 地 带 ”, 两 个 路 由 器 一 个 控制 内 联网 数据 流 . 另 一 个 控制 因特网 数据 流 , 内 联 
网 和 因特网 均 可 访问 屏蔽 子 网 ,但 禁止 它们 穿 过 屏蔽 子 网 通信 。 可 根据 需要 在 屏蔽 子 网 
中 安装 堡 人 又 主机 ,为 内 部 网 络 和 外 部 网 络 的 互相 访问 提供 代理 服务 ,但 是 来 自 两 网 络 的 访 
问 都 必须 通过 两 个 包 过 滤 路 由 器 的 检查 。 对 于 向 因特网 公开 的 服务 器 , 像 WWW 、FTP、 
Mail 等 因特网 服务 器 也 可 安装 在 屏蔽 子 网 内 ,这 样 无 论 是 外 部 用 户 ,还 是 内 部 用 户 都 可 
访问 。 屏 项 子 网 的 防火 墙 安全 性 能 高 ,具有 很 强 的 抗 攻击 能 力 , 但 需要 的 设备 多 ,造价 高 。 
屏蔽 子 网 如 图 5-17 所 示 。 


外 网 
路 由 器 


集 允 主机 


应 用 服务 器 


图 5-17 ”屏蔽 子 网 


当然 ,防火 增 本 身 也 有 其 局 限 性 .例如 .不 能 防范 绕 过 防火 墙 的 入 侵 , 一 般 的 防火 墙 不 
能 防止 受到 病毒 感染 的 软件 或 文件 的 传输 ,难以 避免 来 自 内 部 的 攻击 等 。 总 之 ,防火 墙 只 
是 一 种 整体 安全 防范 策略 的 一 部 分 , 仅 有 防火 墙 是 不 够 的 ,安全 策略 还 必须 包括 全 面 的 安 
全 准则 , 即 网 络 访问 、. 本 地 和 远程 用 户 认证 、 拨 出 拨 入 呼叫 磁盘 和 数据 加 密 以 及 病毒 防护 
等 有 关 的 安全 策略 。 


5.3 计算 机 病毒 
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计算 机 病毒 是 一 种 计算 机 程序 ,是 一 段 可 执行 的 指令 代码 。 就 像 生物 病毒 一 样 ,计算 
机 病毒 有 独特 的 复制 能 力 , 可 以 很 快 地 草 延 .又 非常 难以 根除 。 计 算 机 病毒 不 是 来 源 于 突 
发 或 偶然 的 原因 。 一 次 突 发 的 停电 和 偶然 的 错误 ,会 在 计算 机 的 磁盘 和 内 存 中 产生 一 些 
乱码 和 随机 指令 .但 这 些 代码 是 无 序 和 混乱 的 。 计 算 机 病毒 则 是 一 段 比 较 完美 的 、 精 巧 严 
并 的 代码 ,按照 严格 的 秩序 组 织 起 来 ,并 与 所 在 的 系统 网 络 环境 配合 起 来 对 系统 进行 破 
坏 。 多 数 计算 机 病毒 可 以 找到 作者 信息 和 产地 信息 ,通过 大 量 的 资料 分 析 统 计 来 看 ,编写 
计算 机 病毒 程序 的 目的 是 多 种 多 样 的 。 一些 天 才 的 程序 员 为 了 表现 和 证 明 自 己 的 能 力 、 
出 于 对 上 司 的 不 满 , 为 了 好 奇 . 为 了 祝贺 和 求爱 等 ,当然 也 有 因 政 治 、 军 事 、 宗 教 . 民 族 、 专 
利 等 方面 的 需求 而 专门 编写 的 。 
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计算 机 病毒 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 明确 定义 为 : 
“ 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 
能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

1. 计算 机 病毒 的 特点 

计算 机 病毒 具有 很 强 的 传染 性 ,一 定 的 潜伏 性 、 特 定 的 触发 性 和 很 大 的 破坏 性 ,如 
图 5-18 所 示 。 = a 

传染 性 是 病毒 的 基本 特征 。 在 生物 界 , 病 。 
毒 通过 传染 从 一 个 生物 体 扩散 到 另 一 个 生物 | 传染 性 潜伏 性 | | 触发 性 | | 破坏 性 
体 。 在 适当 的 条 件 下 ,病毒 可 得 到 大 量 繁 殖 ， 国 .618 二 全 机 病 汪 区 村 庆 
使 被 感染 的 生物 体 表 现 出 病症 甚至 死亡 。 同 
样 ,计算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ,在 某 些 
情况 下 造成 被 感染 的 计算 机 工作 失常 其 至 瘫痪 。 与 生物 病毒 不 同 的 是 ,计算 机 病毒 是 一 
段 人 为 编制 的 计算 机 程序 代码 ,这 段 程序 代码 一 旦 进入 计算 机 并 得 以 执行 ,就 会 搜寻 其 他 
符合 其 传染 条 件 的 程序 或 存储 介质 ,确定 目标 后 再 将 自身 代码 插入 其 中 ,达到 自我 繁殖 的 
目的 。 只 要 一 台 计算 机 感染 病毒 ,如 不 及 时 处 理 , 那 么 病毒 会 迅速 扩散 ,该 计算 机 中 的 大 
量 文件 (一 般 是 可 执行 文件 ) 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ,在 与 其 他 计 
算 机 进行 数据 交换 或 通过 网 络 接触 时 ,病毒 会 继续 进行 传染 。 

正常 的 计算 机 程序 一 般 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 之 上 的 ,而 计算 机 
病毒 却 能 使 自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 之 上 。 计 算 
机 病毒 可 通过 各 种 可 能 的 渠道 ,如 软盘 .计算 机 网 络 去 传染 其 他 的 计算 机 。 如 果 在 一 台 计 
算 机 上 发 现 了 病毒 ,往往 曾 在 这 台 计 算 机 上 用 过 的 软盘 已 感染 上 了 病毒 ,而 与 这 台 计 算 机 
联网 的 其 他 计算 机 可 能 也 被 该 病毒 传染 上 上 了。 是 否 具 有 传染 性 是 判别 一 个 程序 是 否 为 计 
算 机 病毒 的 最 重要 的 条 件 。 

潜伏 性 的 第 一 种 表现 是 指 病毒 程序 不 用 专用 检测 程序 是 检查 不 出 来 的 ,因此 病毒 可 
以 静 静 地 躲 在 磁盘 或 碰 带 里 呆 上 几 天 ,甚至 几 年 ,一 旦 时 机 成 熟 , 病 毒 程 序 得 到 运行 机 会 ， 
就 要 四 处 繁殖 .扩散 ,继续 为 害 。 

潜伏 性 的 第 二 种 表现 是 指 计算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 ,不 满足 触发 条 件 
时 ,计算 机 病毒 除了 传染 外 不 做 什么 破坏 。 和 触发 条 件 一 旦 得 到 满足 ,有 的 在 屏幕 上 显示 信 
息 .图 形 或 特殊 标识 ,有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 .删除 磁盘 文件 .对 数据 
文件 进行 加 密 、 封 锁 键盘 以 及 使 系统 死机 等 。 

病毒 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 
为 了 隐蔽 自己 ,病毒 必须 潜伏 , 少 做 动作 。 病 毒 具有 预定 的 触发 条 件 , 这 些 条 件 可 能 是 
时 间 日期、 文件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ,触发 机 制 检 查 预定 条 件 是 否 满 
足 , 如 果 满 足 , 启 动感 染 或 破坏 动作 ,使 病毒 进行 感染 或 攻击 ; 如 果 不 满足 ,使 病毒 继续 
潜伏 。 

计算 机 病毒 的 破坏 性 主要 取决 于 计算 机 病毒 设计 者 的 目的 ,如 果 病 毒 设计 者 的 目的 
在 于 彻底 破坏 系统 的 正常 运行 ,那么 这 种 病毒 对 于 计算 机 系统 进行 攻击 造成 的 后 果 是 难 
以 设想 的 , 它 可 以 毁 掉 系 统 的 部 分 数据 ,也 可 以 破坏 全 部 数据 并 使 之 无 法 恢复 .但 并 非 所 
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有 的 病毒 都 对 系统 产生 极其 恶劣 的 破坏 作用 。 有 时 几 种 本 没有 多 大 破坏 作用 的 病毒 交叉 
感染 ,也 会 导致 系统 崩溃 等 重大 恶果 。 

2. 计算 机 病毒 的 分 类 

计算 机 病毒 从 不 同 的 角度 有 不 同 的 分 类 。 按 危害 性 分 为 良性 病毒 和 恶性 病毒 ; 按 寄 
生 方 式 分 为 代替 式 病 毒 .链接 式 病 毒 . 转 储 式 病毒 .填充 式 病毒 和 覆盖 式 病毒 等 。 按 病毒 
感染 的 途径 ,病毒 分 为 4 类 。 

(1) 操作 系统 型 病毒 (Operating System Viruses) 。 这 类 病毒 程序 作为 操作 系统 的 一 
个 模块 在 系统 中 运行 ,一 旦 激发 , 它 就 工作 。 例 如 , 它 作 为 操作 系统 的 引导 程序 时 ,计算 机 
一 且 启 动 就 首先 运行 病毒 程序 ,然后 才 启动 操作 系统 程序 。 这 类 病毒 也 称 为 引导 型 病毒 ， 
如 小 球 病毒 大麻 病 毒 等 。 

(2) 文件 型 病毒 (File Viruses)。 文 件 型 病毒 攻击 的 对 象 是 文件 ,并 寄生 在 文件 上 。 
当 文件 运行 时 ,首先 运行 病毒 程序 ,然后 才 运行 指定 的 文件 (这 类 文件 一 般 是 可 执行 文 
件 )。 文 件 型 病毒 又 称 为 外 壳 型 (Shell Viruses) 型 病毒 ,其 病毒 程序 包围 在 宿主 程序 的 外 
围 ,对 其 宿主 程序 不 修改 。 

感染 文件 的 病毒 有 Jerusalem、Yankee Doole、Liberty、1575、Traveller、4096 等 ,主要 
感染 . com 和 ,exe 文件 。 文 件 型 病毒 增加 了 被 感染 的 文件 字 节 数 , 并 且 病 毒 代 码 主体 没 
有 加 密 , 因 此 容易 被 查 出 和 解除 。 在 文件 型 病毒 中 , 略 有 对 抗 反 病 毒手 段 的 只 有 Yankee 
Doole 病毒 , 当 它 发 现 用 DEBUG 工具 跟踪 时 ,会 自动 从 文件 中 逃走 。 

(3) 复合 型 病毒 。 复 合 型 病毒 既 感 染 文件 ,又 感染 引导 扇 区 ,常见 的 有 XqR(CNew 
century) ,Invader( 侵 人 者 )、Plastique( 塑 料 炸弹 )、3584( 郑 州 狼 )、ALFA/3072-2、Ghost/ 
One Halff3544( 幽 灵 ) 等 。 如 果 只 解除 了 文件 或 硬盘 主 引 导 扇 区 的 病毒 , 则 仍 会 感染 系 
统 。 解 决 的 方法 是 从 软盘 启动 系统 ,然后 调用 软盘 版 杀毒 软件 ,同时 杀 掉 硬盘 上 引导 扇 区 
病毒 和 文件 病毒 。 

(4) 宏 病 毒 。 宏 病毒 主要 是 利用 软件 本 身 所 提供 的 宏 能 力 来 设 病毒 ,所 以 凡是 具有 
宏 能 力 的 软件 都 有 宏 病 毒 存 在 的 可 能 ,如 Word、Excel。Microsoft Word 中 把 宏 定 义 为 : 
“ 宏 就 是 能 组 织 到 一 起 作为 独立 的 命令 的 一 系列 Word 命令 . 它 能 使 日 常 工作 变 得 更 容 
易 .” 而 Word 宏 病 毒 利用 Word 的 开放 性 , 即 Word 中 提供 的 Word Basic 编程 接口 ,并 能 
通过 DOC 文档 及 DOC 模板 进行 自我 复制 及 传播 。 

随 着 Office 新 版 本 的 推出 ,微软 不 断 加 强 宏 的 功能 . 宏 病 毒 的 危害 也 就 越 来 越 大 。 
Melissa 病毒 是 利用 宏 来 使 E-mail 管理 程序 Outlook 自动 根据 其 通讯 录 中 记录 的 前 50 个 
地 址 发 信和 ,而 July Killer 宏 病 毒 的 破坏 方式 则 是 产生 一 个 只 有 一 句 话 的 “deltree/y c:\” 一 条 
指令 的 Autoexec. bat 文件 来 替代 现 有 的 该 文件 ,当下 次 启动 计算 机 时 ,这 条 指令 就 会 删 
除 C 盘 中 的 所 有 文件 ,所 以 宏 病 毒 是 一 种 危害 极 大 的 病毒 。 


532 计算 机 病毒 的 工作 过 程 


1. 计算 机 病毒 程序 的 结构 
计算 机 病毒 包括 3 大 功能 块 , 即 引 导 模 块 、 传 播 模 块 和 破坏 /表现 模块 。 其 中 ,后 两 个 
模块 各 包含 一 段 触 发 条 件 检 查 代 码 ,它们 分 别 检查 是 否 满足 传染 触发 的 条 件 和 是 否 满足 
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表现 触发 的 条 件 , 只 有 在 相应 的 条 件 满足 时 ,病毒 才 会 进行 传染 或 表现 /破坏 。 必 须 指出 ， 
不 是 任何 计算 机 病毒 都 必须 包括 这 3 个 模块 ,有 些 病毒 没有 引导 模块 ,而 有 些 病 毒 没有 破 
坏 模块 。 

3 个 模块 各 自 的 作用 是 : 引导 模块 将 病毒 由 外 存 引 入 内 存 , 使 后 两 个 模块 处 于 活动 
状态 ; 传播 模块 用 来 将 病毒 传染 到 其 他 对 象 上 去 ; 破 
坏 /表现 模块 实施 病毒 的 破坏 作用 ,如 删除 文件 .格式 asia 
化 磁盘 等 ,由 于 该 模块 中 有 些 病毒 并 没有 明显 的 恶意 传播 模块 
破坏 作用 ,只 是 进行 一 些 视屏 或 发 声 方面 的 自我 表现 
作用 , 故 该 模块 有 时 又 称 为 表现 模块 。 计 算 机 病毒 程 
序 结构 如 图 5-19 所 示 。 5-19 计算 机 病毒 程序 结构 

2. 计算 机 病毒 的 引导 及 传染 

目前 的 计算 机 病毒 寄生 对 象 有 两 种 ,一 是 寄生 在 磁盘 的 引导 区 上 ,二 是 寄生 在 可 执行 
文件 上 。 

对 于 寄生 在 磁盘 引导 区 的 病毒 来 说 ,病毒 引导 程序 占用 了 原 引 导 程 序 的 位 置 ,并 将 原 
引导 程序 转移 到 一 个 特定 的 地 方 。 这 样 系统 一 启动 ,病毒 就 被 引导 进 内 存 并 获得 执行 权 ， 
然后 将 病毒 的 其 他 两 个 模块 装 入 内 存 ,采取 常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 覆盖 ， 
并 设 定 激活 方式 ,使 之 能 在 适当 的 方式 下 被 激活 。 然 后 病毒 引导 程序 将 系统 引导 模块 装 
入 内 存 ,使 系统 在 带 毒 状态 下 工作 。 

对 于 寄生 在 可 执行 文件 中 的 病毒 来 说 ,病毒 程序 通过 修改 原 有 的 可 执行 文件 ,一 般 是 
链接 在 可 执行 文件 的 首部 .中 间 、 尾 部 等 ,将 病毒 引导 程序 引导 进 内 存 , 该 引导 程序 将 病毒 
的 其 他 两 个 模块 装 入 内 存 , 并 完成 驻 留 内 存 及 初始 化 工作 ,然后 将 执行 权 交 给 执行 文件 ， 
使 系统 在 带 病毒 的 状态 下 工作 。 

传染 是 指 计算 机 病毒 由 一 个 载体 传播 到 另 一 个 载体 或 者 由 一 个 系统 进入 另 一 个 系统 
的 过 程 。 用 户 在 复制 磁盘 或 文件 时 ,把 一 个 病毒 由 一 个 载体 复制 到 另 一 个 载体 上 。 或 者 
是 通过 网 络 上 的 信息 传递 ,把 一 个 病毒 程序 从 一 方 传递 到 另 一 方 ,这 种 传染 方式 叫做 计算 
机 病毒 的 被 动 传染 。 在 病毒 处 于 激活 的 状态 下 ,只 要 传染 条 件 满足 ,病毒 程序 能 主动 地 把 
病毒 自身 传染 给 另 一 个 载体 或 另 一 个 系统 ,这 种 传染 方式 叫做 计算 机 病毒 的 主动 传染 。 

对 于 病毒 的 被 动 传染 而 言 , 其 传染 过 程 是 随 着 复制 磁盘 或 文件 工作 的 进行 而 进行 的 。 
而 对 于 计算 机 病毒 的 主动 传染 而 言 , 其 传染 过 程 是 这 样 的 : 在 系统 运行 时 ,病毒 通过 病毒 
载体 即 系统 的 外 存储 器 进入 系统 的 内 存储 器 . 常 驻 内 存 , 并 在 系统 内 存 中 监视 系统 的 
运行 。 

在 病毒 引导 模块 将 病毒 传播 模块 驻 留 内 存 的 过 程 中 ,通常 还 要 修改 系统 中 断 向 量 入 
口 地 址 (例如 INT 13H 或 INT 21H) ,使 该 中 断 向 量 指向 病毒 程序 传播 模块 。 这 样 ,一 旦 
系统 执行 磁盘 读 写 操作 或 系统 功能 调用 ,病毒 传播 模块 就 被 激活 ,传播 模块 在 判断 传染 条 
件 满足 的 条 件 下 ,利用 系统 INT 13H 读 写 磁盘 中 断 把 病毒 自身 传播 给 被 读 写 的 磁盘 或 被 
加 载 的 程序 ,也 就 是 实施 病毒 的 传染 ,然后 再 转移 到 原 中 断 服务 程序 执行 原 有 的 操作 。 

3. 计算 机 病毒 的 触发 

进入 内 存 并 处 于 运行 状态 的 病毒 .并 不 是 马上 就 起 破坏 作用 ,还 要 等 待 一 定 的 触发 条 
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件 。 在 触发 条 件 的 设置 上 要 兼顾 潜伏 性 与 杀伤 力 , 过 于 苛刻 和 宽泛 都 会 影响 计算 机 病毒 
的 破坏 性 。 

计算 机 病毒 采用 的 常见 的 触发 条 件 有 7 种 。 

(1) 日 期 触发 。 许 多 病毒 采用 日 期 做 触发 条 件 。 日 期 触发 包括 特定 日 期 触发 ,月份 
触发 .前 半年 后 半年 触发 等 。 

(2) 时 间 触 发 。 时 间 触 发 包括 特定 的 时 间 触 发 、 染 毒 后 累计 工作 时 间 触 发 .文件 最 后 
写 人 时间 触发 等 。 

(3) 键盘 触发 。 有 些 病 毒 监视 用 户 的 击 键 动作 ,出 现 病毒 预定 的 键入 时 ,病毒 被 激 
活 ,进行 某 些 特定 操作 。 键 盘 触 发 包括 击 键 次 数 触发 .组 合 键 触发 . 热 启动 触发 等 。 

(4) 感染 触发 。 许 多 病毒 的 感染 需要 某 些 条 件 触发 ,而 且 相 当 数 量 的 病毒 又 以 与 感 
染 有 关 的 信息 反 过 来 作为 破坏 行为 的 触发 条 件 , 称 为 感染 触发 。 感 染 触 发 包括 运行 感染 
文件 个 数 触发 .感染 次 数 触发 .感染 磁盘 数 触发 .感染 失败 触发 等 。 

(5) 启动 触发 。 病 毒 对 机 器 的 启动 次 数 计数 ,并 将 此 值 作为 触发 条 件 , 称 为 启动 
触发 。 

(6) 访问 磁盘 次 数 触发 。 病 毒 对 磁盘 I/O 访问 的 次 数 进行 计数 ,以 预定 次 数 作为 触 
发 条 件 , 称 为 访问 磁盘 次 数 触发 。 

(7) 调用 中 断 功 能 触发 。 病 毒 对 中 断 调 用 次 数 计数 ,以 预定 次 数 作 为 触发 条 件 。 

4. 计算 机 病毒 的 工作 过 程 

计算 机 病毒 的 工作 过 程 如 图 5-20 所 示 。 


静态 病毒 (计算 机 病毒 ) 


图 5-20 计算 机 病毒 的 工作 过 程 


533 计算 机 防 病毒 技术 


计算 机 病毒 学 鼻祖 早 在 20 世纪 80 年 代 初 期 就 已 经 提出 了 计算 机 病毒 的 模型 ,并 证 
明 只 要 延 用 现行 的 计算 机 体系 ,计算 机 病毒 就 存在 不 可 判定 性 。 杀 病毒 必须 先 搜 集 到 病 
毒 样本 ,使 其 成 为 已 知 病毒 .然后 剖析 病毒 ,再 将 病毒 传染 的 过 程 准 确 地 苏 倒 过 来 ,使 被 感 
染 的 计算 机 恢复 原状 。 因 此 可 以 看 出 ,一 方面 计算 机 病毒 是 不 可 灭绝 的 , 另 一 方面 病毒 也 
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并 不 可 怕 , 世 界 上 没有 杀 不 掉 的 病毒 。 

1. 反 病 毒 技术 分 类 

从 研究 的 角度 , 反 病 毒 技 术 主 要 分 3 类 。 

(1) 预防 病毒 技术 。 预 防 病毒 技术 自身 常 驻 系统 内 存 , 优 先 获得 系统 的 控制 权 , 监 视 
和 判断 系统 中 是 否 有 病毒 存在 ,进而 阻止 计算 机 病毒 进入 计算 机 系统 和 对 系统 进行 破坏 。 
主要 手段 包括 加 密 可 执行 程序 .引导 区 保护 、 系 统 监 控 与 读 写 控 制 等 。 

(2) 检测 病毒 技术 。 通 过 对 计算 机 病毒 的 特征 来 进行 判断 的 侦 测 技术 ,如 自身 校 验 、 
关键 字 等 。 

(3) 消除 病毒 技术 。 通 过 对 病毒 的 分 析 , 杀 除 病毒 并 恢复 原文 件 。 

2. 从 具体 实现 技术 的 角度 ,常用 的 反 病 毒 技 术 有 6 种 

(1) 病毒 代码 扫描 法 将 新 发 现 的 病毒 加 以 分 析 后 根据 其 特征 编 成 病毒 代码 ,加 入 病 
毒 特 征 库 中 。 每 当 执行 杀毒 程序 时 , 便 立 刻 扫 描 程序 文件 ,并 与 病毒 代码 比 对 , 便 能 检测 
到 是 否 有 病毒 。 病 毒 代 码 扫描 法 速度 快 .效率 高 。 使 用 特征 码 技术 需要 实现 一 些 补充 功 
能 ,例如 近来 的 压缩 包 .压缩 可 执行 文件 自动 查 杀 技术 。 大 多 数 防 病毒 软件 均 采用 这 种 方 
法 ,但 是 该 方法 无 法 检测 到 未 知 的 新 病毒 以 及 变种 病毒 。 

(2) 人 工 智能 陷阱 法 是 一 种 监测 计算 机 行为 的 常 驻 式 扫描 技术 。 它 将 所 有 病毒 所 产 
生 的 行为 归纳 起 来 ,一 旦 发 现 内 存 的 程序 有 任何 不 当 的 行为 ,系统 就 会 有 所 警觉 ,并 告知 
用 户 。 其 优点 是 执行 速度 快 ,手续 简便 , 且 可 以 检测 到 各 种 病毒 ; 其 缺点 是 程序 设计 难 ， 
且 不 容易 考虑 周全 。 

(3) 软件 模拟 扫描 法 专门 用 来 对 付 千 面 人 病毒 (Polymorphic/Mutation Virus) 。 千 
面 人 病毒 在 每 次 传染 时 ,都 以 不 同 的 随机 数 加 密 于 每 个 中 毒 的 文件 中 ,传统 病毒 代码 比 对 
的 方式 根本 就 无 法 找到 这 种 病毒 。 软 件 模拟 技术 则 成 功 地 模拟 CPU 执行 ,在 其 设计 的 
DOS 虚拟 机 器 (Virtual Machine) 下 模拟 执行 病毒 的 变 体 引擎 解码 程序 ,将 多 形体 病毒 解 
开 , 使 其 显露 原来 的 面目 ,再 加 以 扫描 。 目 前 虚拟 机 的 处 理 对 象 主要 是 文件 型 病毒 。 对 于 
引导 型 病毒 `. Word/Excel 宏 病毒 ,木马 程序 在 理论 上 都 是 可 以 通过 虚拟 机 来 处 理 的 ,但 目 
前 的 实现 水 平 仍 相 距 甚 远 。 就 像 病 毒 编码 变形 使 得 传统 特征 值 方法 失效 一 样 ,针对 虚拟 
机 的 新 病毒 可 以 轻易 使 得 虚拟 机 失效 。 虽然 虚拟 机 也 会 在 实践 中 不 断 发 展 。 但 是 ,PC 
的 计算 能 力 有 限 . 防 病毒 软件 的 制造 成 本 也 有 限 . 而 病毒 的 发 展 可 以 说 是 无 限 的 。 让 虚拟 
技术 获得 更 加 实际 的 功效 ,甚至 要 以 此 为 基础 来 清除 未 知 病毒 ,其 难度 相当 大 。 

(4) 先知 扫描 法 VICE(Virus Instruction Code Emulation) 是 继 软 件 模拟 技术 后 的 一 
大 突破 。 既 然 软件 模拟 可 以 建立 一 个 保护 模式 下 的 DOS 虚拟 机 器 ,模拟 CPU 动作 并 模 
拟 执行 程序 以 解 开 变 体 引擎 病毒 ,那么 类 似 的 技术 也 可 以 用 来 分 析 一 般 程序 检查 可 疑 的 
病毒 代码 。 因 此 .VICE 将 工程 师 用 来 判断 程序 是 否 有 病毒 代码 存在 的 方法 ,分 析 归 纳 成 
专家 系统 知识 库 ,再 利用 软件 工程 的 模拟 技术 (Software Emulation) 假 执行 新 的 病毒 ,就 
可 分 析出 新 病毒 代码 对 付 以 后 的 病毒 。 该 技术 是 专门 针对 于 未 知 的 计算 机 病毒 所 设计 
的 ,利用 这 种 技术 可 以 直接 模拟 CPU 的 动作 来 侦 测 出 某 些 变种 病毒 的 活动 情况 ,并 且 研 
制 出 该 病毒 的 病毒 码 。 由 于 该 技术 较 其 他 解毒 技术 严谨 ,对 于 比较 复杂 的 程序 在 病毒 代 
码 比 对 上 会 耗费 比较 多 的 时 间 . 所 以 该 技术 的 应 用 不 那么 广泛 。 
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(5) 文件 宏 病 毒 陷阱 法 (MacroTrapTM) 结 合 了 病毒 代码 扫描 与 人 工 智能 陷阱 技术 ， 
根据 病毒 行为 模式 (Rule Base) 来 检测 已 知 及 未 知 的 宏 病 毒 。 其 中 ,配合 对 象 链接 与 骨 套 
(Object Linking and Embedding) 技 术 , 可 将 宏 与 文件 分 开 , 加 快 扫描 ,并 可 有 效 地 将 宏 病 
毒 彻底 清除 。 

(6) 主动 内 核 技术 (ActiveK) 是 将 已 经 开发 的 各 种 网 络 防 病毒 技术 从 源 程序 级 做 人 
到 操作 系统 或 网 络 系统 的 内 核 中 ,实现 网 络 防 病毒 产品 与 操作 系统 的 无 缝 连接 。 这 种 技 
术 可 以 保证 网 络 防 病毒 模块 从 系统 的 底层 内 核 与 各 种 操作 系统 和 应 用 环境 密切 协调 , 确 
保 防毒 操作 不 会 伤 及 操作 系统 内 核 , 同 时 确保 杀 灭 病毒 的 功效 。 
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1. CIH 病毒 

CIH 病毒 属于 文件 型 病毒 ,只 感染 Windows 9x 操作 系统 下 的 可 执行 文件 。 当 受 感染 
的 . exe 文件 执行 后 ,该 病毒 便 驻 留 内 存 中 .并 感染 所 接触 到 的 其 他 PE(Portable Executable) 
格式 执行 程序 。 

随 着 技术 更 新 的 频率 越 来 越 快 ,主板 生产 厂商 使 用 EPROM 来 做 BIOS 的 存储 器 ,这 
是 一 种 可 擦 写 的 ROM。 通常 所 说 的 BIOS 升级 就 是 借助 特殊 程序 修改 ROM 中 BIOS 里 
的 固化 程序 。 采 用 这 种 可 擦 写 的 EPROM ,虽然 方便 了 用 户 及 时 对 BIOS 进行 升级 处 理 ， 
但 同时 也 给 病毒 带 来 了 可 乘 之 机 。CIH 的 破坏 性 在 于 它 会 攻击 BIOS、 铸 六 硬盘 、 进 入 
Windows 内 核 。 

(1) 攻击 BIOS。 当 CIH 发 作 时 , 它 会 试图 向 BIOS 中 写 入 垃圾 信息 ,BIOS 中 的 内 容 
会 被 彻底 洗 去 。 

(2) 覆盖 硬盘 。CIH 发 作 时 ,调节 器 用 IOS-Send Command 直接 对 硬盘 进行 存 取 ,将 
垃圾 代码 以 208 个 扇 区 为 单位 .循环 写 入 硬盘 ,直到 所 有 硬盘 上 的 数据 均 被 破坏 为 止 。 

(3) 进入 Windows 内 核 。 无 论 是 要 攻击 BIOS, 还 是 要 设法 驻 留 内 存 为 病毒 传播 创 
造 条 件 , 对 CIH 这 类 病毒 而 言 ,关键 是 要 进入 Windows 内 核 , 取 得 核心 级 控制 权 。 

为 防范 CIH 病毒 对 计算 机 主板 的 破坏 , 需 采 取 一 些 针 对 性 的 措施 。 

(1) 修改 系统 时 间 , 跳 过 病毒 的 发 作 日 。 

(2) 有 些 计 算 机 系统 主板 具备 BIOS 写 保护 跳 线 ,但 一 般 设 置 均 为 开 , 可 将 其 拨 至 关 
的 位 置 ,这 样 可 以 防止 病毒 向 BIOS 写 入 信息 。 

(3) 可 采用 压缩 并 解压 缩 文件 的 方式 检查 CIH 病毒 ,如 果 解 压缩 出 现 问题 ,多 半 可 
以 肯定 有 CIH V1. 2 病毒 的 存在 ,但 用 该 方法 不 能 判断 文件 中 是 否 存在 CIH V1. 4 病毒 。 

(4) 用 户 不 要 轻易 运行 从 电子 邮件 或 网 站 上 下 载 的 未 知 软件 。 

(5) 由 于 病毒 是 将 垃圾 码 写 人 硬盘 ,导致 硬盘 的 数据 不 能 恢复 ,务必 将 重要 数据 备 
份 ,以免 造成 损失 。 

2. 蠕虫 病毒 

蠕虫 病毒 的 编写 相对 其 他 形式 的 病毒 程序 来 说 简单 一 些 , 它 可 以 用 VB 语言 、C 语言 
或 者 传统 语言 来 编写 ,还 可 以 利用 wsh 脚本 宿主 .用 常见 的 VBscript 和 Javascript 等 语 
言 来 编写 。 但 这 并 不 意味 着 这 种 程序 的 破坏 性 小 ,相反 , 它 具 有 极 强 的 破坏 能 力 , 并 且 由 
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于 有 因特网 这 个 传播 的 大 好 场所 ,蠕虫 病毒 有 着 将 传统 病毒 挤 出 市 场 的 趋势 。 

蠕虫 病毒 与 一 般 的 计算 机 病毒 不 同 , 它 不 是 将 自身 复制 并 附加 到 其 他 程序 中 ,所 以 在 
病毒 中 也 算是 一 个 另类 。 包 括 蠕虫 病毒 在 内 的 脚本 病毒 是 很 容易 制造 的 。 其 利用 了 
Windows 系统 的 开放 性 ,特别 是 com 到 com- 的 组 件 编程 思路 ,一 个 脚本 程序 调用 功能 更 
大 的 组 件 来 完成 自己 的 功能 。 它 们 相对 来 说 较 其 他 的 病毒 容易 编写 。 

蠕虫 病毒 与 普通 病毒 的 区 别 如 表 5-4 所 示 。 


表 5-4 ”蠕虫 病毒 与 普通 病毒 的 区 别 


类 别 


特性 普通 病毒 蠕虫 病毒 
存在 形式 寄存 文件 独立 程序 
传染 机 制 宿主 程序 运行 主动 攻击 
传染 目标 本 地 文件 网 络 计 算 机 


5.4 黑客 的 攻击 技术 简介 


黑客 是 英文 hacker 的 音译 ,hacker 这 个 单词 源 于 动词 hack, 原 是 指 热心 于 计算 机 技 
术 且 水 平 高 超 的 计算 机 专家 ,尤其 是 程序 设计 人 员 。 他 们 非常 精通 计算 机 硬件 和 软件 知 
识 , 对 操作 系统 和 程序 设计 语言 有 着 全 面 深刻 地 认识 ,善于 探索 计算 机 系统 的 奥秘 ,发 现 
系统 中 的 漏洞 及 原因 所 在 。 他 们 信和 守 永 不 破坏 任何 系统 的 原则 ,检查 系统 的 完整 性 和 安 
全 性 ,并 乐于 与 他 人 共享 研究 成 果 。 

到 今天 ,黑客 一 词 已 被 用 于 泛 指 那些 未 经 许可 就 冯 入 计算 机 系统 进行 破坏 的 人 。 他 
们 中 的 一 些 人 利用 漏洞 进入 计算 机 系统 后 ,破坏 重要 的 数据 。 另 一 些 人 利用 黑客 技术 控 
制 别 人 的 计算 机 ,从 中 盗 取 重要 资源 , 干 起 了 非法 的 勾当 。 他 们 已 经 成 了 入 侵 者 和 破 
坏 者 。 

造成 网 络 不 安全 的 主要 因素 是 系统 、 协 议 及 数据 库 等 存在 设计 上 的 缺陷 。 当 今 的 计 
算 机 网 络 操作 系统 在 结构 设计 和 代码 设计 时 .偏重 考虑 系统 使 用 时 的 方便 性 ,导致 系统 在 
远程 访问 、 权 限 控制 和 口令 管理 等 许多 方面 存在 安全 漏洞 。 网 络 互 联 一 般 采 用 TCP/IP 
协议 , 它 是 一 个 工业 标准 的 协议 簇 ,但 该 协议 簇 在 制订 之 初 对 安全 问题 考虑 不 多 .协议 中 
有 很 多 的 安全 漏洞 。 同 样 , 数 据 库 管 理 系 统 (DBMS) 也 存在 数据 的 安全 性 、 权 限 管理 及 远 
程 访问 等 方面 问题 。 例 如 ,在 DBMS 或 应 用 程序 中 可 以 预先 安装 从 事情 报 收集 、 受 控 激 
发 .定时 发 作 等 破坏 程序 。 


541 黑客 的 进攻 过 程 
黑客 的 进攻 过 程 如 图 5-21 所 示 。 
(收集 信息 ) 一 一 一 《实施 攻击 ) 一 一 一 《 控制 主机 、 清除 记录 ) 


图 5-21 黑客 的 进攻 过 程 
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1. 收集 信息 

黑客 在 发 动 攻击 前 需要 锁定 目标 ,了 解 目 标的 网 络 结构 ,收集 目标 系统 的 各 种 信 
息 等 。 

(1) 锁定 目标 。 网 络 上 有 许多 主机 ,黑客 首先 要 寻找 目标 站 点 。 能 真正 标识 主机 的 
是 IP 地 址 ,黑客 利用 域名 和 IP 地 址 就 可 以 顺利 地 找到 目标 主机 。 

(2) 了 解 目标 的 网 络 结构 。 确 定 要 攻击 的 目标 后 :黑客 就 会 设法 了 解 其 所 在 的 网 络 
结构 ,哪里 是 网 关 、 路 由 ,哪里 有 防火 墙 ,哪些 主机 与 要 攻击 的 目标 主机 关系 密切 等 ,最 简 
单 的 方法 就 是 用 tracert 命令 追踪 路 由 ,也 可 以 发 一 些 数据 包 看 其 是 否 能 通过 ,猜测 其 防 
火 墙 过 滤 原 则 的 设 定 等 。 当 然 老 练 的 黑客 在 干 这些 的 时 候 都 会 利用 别 的 计算 机 来 间接 地 
探测 ,从 而 隐藏 他 们 真实 的 IP 地 址 。 

(3) 收集 系统 信息 。 在 收集 到 目标 的 网 络 信息 之 后 ,黑客 会 对 网 络 上 的 每 台 主 机 进 
行 全 面 的 系统 分 析 ,以 寻求 该 主机 的 安全 漏洞 或 安全 弱点 。 收 集 系 统 信息 的 方法 有 : 开 
放 端 口 分 析 、 利 用 信息 服务 和 利用 扫描 器 。 

首先 黑客 要 知道 目标 主机 采用 的 是 什么 操作 系统 的 什么 版 本 ,如 果 目 标 主 机 开放 
Telnet 服务 ,黑客 只 要 Telnet 目标 主机 ,就 会 显示 目标 主机 系统 的 登录 提示 信息 ; 接着 
黑客 还 会 对 其 开放 端口 进行 服务 分 析 , 看 是 否 有 能 被 利用 的 服务 。WWW、Mail、FTP、 
Telnet 等 日 常 网 络 服务 都 有 开放 的 端口 ,通常 情况 下 Telnet 服务 的 端口 是 23,WWW 服 
务 的 端口 是 80,FTP 服务 的 端口 是 23。 

利用 信息 服务 , 像 SNMP 服务 、Traceroute 程序 、Whois 服务 可 以 查阅 网 络 系统 路 由 
器 的 路 由 表 , 从 而 了 解 目标 主机 所 在 网 络 的 拓扑 结构 及 其 内 部 细节 。Traceroute 程序 能 
够 获得 到 达 目 标 主机 所 要 经 过 的 网 络 数 和 路 由 器 数 。Whois 协议 服务 能 提供 所 有 有 关 的 
DNS 域 和 相关 的 管理 参数 。Finger 协议 可 以 用 Finger 服务 来 获取 一 个 指定 主机 上 的 所 
有 用 户 的 详细 信息 (如 用 户 注 册 名 .电话 号 码 . 最 后 注册 时 间 以 及 用 户 有 没有 读 邮 件 等 )， 
所 以 如 果 没 有 特殊 的 需要 ,管理 员 应 该 关闭 这 些 服务 。 

黑客 收集 系统 信息 当然 少不了 利用 扫描 器 来 帮 他 们 发 现 系 统 的 各 种 漏洞 ,包括 各 种 
系统 服务 漏洞 .应 用 软件 漏洞 .CGI、 弱 口令 用 户 等 。 

2. 实施 攻击 

当 黑 客 探测 到 了 足够 的 系统 信息 ,对 系统 的 安全 弱点 有 了 了 解 后 就 会 发 动 攻击 ,当然 
他 们 会 根据 不 同 的 网 络 结构 ,不同 的 系统 情况 而 采用 不 同 的 攻击 手段 。 一 般 黑客 攻击 的 
终极 目的 是 能 够 控制 目标 系统 ,窃取 其 中 的 机 密 文件 ,但 并 不 是 每 次 黑客 攻击 都 能 够 达到 
控制 目标 主机 的 目的 ,所 以 有 时 黑客 也 会 发 动 拒绝 服务 攻击 之 类 的 干扰 攻击 ,使 系统 不 能 
正常 工作 。 

3. 控制 主机 并 清除 记录 

黑客 利用 种 种 手段 进入 目标 主机 系统 并 获得 控制 权 之 后 ,不 会 马上 进行 破坏 活动 , 例 
如 ,删除 数据 ,涂改 网 页 等 。 黑 客 为 了 能 长 时 间 地 保留 和 巩固 他 对 系统 的 控制 权 , 不 被 管 
理 员 发 现 , 他 会 做 两 件 事 : 清除 记录 和 留 下 后 门 。 日 志 往 往 会 记录 一 些 黑客 攻击 的 蛛 丝 
马 迹 ,黑客 当然 不 会 留 下 这 些 “ 犯 罪证 据 ”, 他 会 删除 日 志 或 用 假日 志 覆 盖 它 。 为 了 日 后 可 
以 不 被 觉察 地 再 次 进入 目标 主机 的 系统 ,黑客 会 更 改 某 些 系 统 设置 ,在 系统 中 置信 特洛伊 
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木马 或 其 他 一 些 远程 操纵 程序 ,也 可 能 是 什么 都 不 动 , 只 是 把 目标 主机 的 系统 作为 他 存放 ”175 
黑客 程序 或 资料 的 仓库 ,还 可 能 利用 这 台 已 经 攻陷 的 主机 去 继续 他 下 一 步 的 攻击 ,继续 入 
侵 内 部 网 络 , 或 者 利用 这 台 主 机 发 动 DOS 攻击 使 网 络 瘫痪 。 


542 黑客 常用 的 攻击 方法 


计算 机 系统 中 存在 的 安全 隐患 是 黑客 进行 攻击 的 地 方 ,黑客 创造 了 多 种 攻击 方法 , 常 
用 的 攻击 方法 如 图 5-22 所 示 。 


黑客 常用 的 攻击 方法 


相 羡 求 逐 莹 尚 


击 


图 5-22 黑客 常用 的 攻击 方法 


1. 口令 攻击 

口令 攻击 是 黑客 的 最 常用 的 攻击 方法 ,从 黑客 诞生 的 那天 起 口令 攻击 就 开始 被 使 用 ， 
这 种 攻击 方式 有 3 种 方法 。 

(1) 暴力 破解 法 。 黑 客 在 知道 用 户 的 账号 后 用 一 些 专门 的 软件 强行 破解 用 户口 令 
(包括 远程 登录 破解 和 对 密码 存储 文件 Passwd、Sam 的 破解 ) 。 采 用 这 种 方法 进行 攻击 的 
黑客 要 有 足够 的 耐心 和 时 间 , 但 总 有 一 些 使 用 简单 口令 的 用 户 账号 ,使 得 黑客 可 以 迅速 将 
其 破解 。 

(2) 伪造 登录 界面 法 。 在 被 攻击 主机 上 启动 一 个 可 执行 程序 ,该 程序 显示 一 个 伪造 
的 登录 界面 , 当 用 户 在 这 个 伪造 的 界面 上 键入 用 户 名 和 密码 后 ,程序 将 用 户 输入 的 信息 传 
送 到 攻击 者 主机 。 

(3) 通过 网 络 监听 得 到 用 户口 令 。 这 种 方法 危害 性 很 大 ,监听 者 往往 能 够 获得 某 一 
个 网 段 的 所 有 用 户 账号 和 口令 。 

2. 特洛伊 木马 攻击 

特洛伊 木马 程序 攻击 也 是 黑客 常用 的 攻击 手段 。 黑 客 会 编写 一 些 看 似 “ 合 法 ”的 程 
序 , 但 实际 上 此 程序 隐藏 有 其 他 非法 功能 ,例如 .用 户 运 行 一 个 外 表 看 似 是 一 个 有 趣 的 小 
游戏 的 程序 时 ,该 程序 却 在 后 台 为 黑客 创建 了 一 条 访问 该 用 户 系统 的 通道 ,这 就 是 特洛伊 
木马 程序 。 当 然 只 有 当 用 户 运行 了 木马 程序 后 ,黑客 才能 对 用 户 系 统 进行 攻击 ,所 以 黑客 
会 把 木马 程序 上 传 到 一 些 站 点 引诱 用 户 下 载 或 者 用 E-mail 寄 给 用 户 并 编造 各 种 理由 骗 
用 户 运行 它 , 当 用 户 运 行 此 软件 后 ,该 软件 会 悄悄 执行 它 的 非法 功能 : 跟踪 用 户 的 计算 机 
操作 ,记录 用 户 输入 的 口令 、 上 网 账号 等 敏感 信息 ,并 把 信息 发 送 到 黑客 指定 的 电子 信箱 
中 。 如 果 是 像 冰河 、 灰 位 子 这 样 的 功能 强大 的 远程 控制 木马 ,黑客 还 可 以 像 在 本 地 操作 一 
样 远程 操控 用 户 的 计算 机 。 
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3. 漏洞 攻击 

利用 漏洞 攻击 是 黑客 攻击 中 最 容易 得 退 的 方法 。 许 多 系统 及 网 络 应 用 软件 都 存在 着 
各 种 各 样 的 安全 漏洞 ,如 Windows 98 的 共享 目录 密码 验证 漏洞 , Windows 2000 的 
Unicode printer ,ida idq、webdarv 漏洞 ,UNIX 的 Telnet、RPC 漏洞 .Sendmail 的 邮件 服 
务 软件 漏洞 ,还 有 基于 Web 服务 的 各 种 CGI 漏洞 等 ,这 些 都 是 最 容易 被 黑客 利用 的 系统 
漏洞 ,特别 是 其 中 的 一 些 缓冲 区 溢出 漏洞 。 利 用 缓冲 区 溢出 漏洞 ,黑客 不 但 可 以 通过 发 送 
特殊 的 数据 包 来 使 服务 或 系统 瘫痪 ,其 至 可 以 精确 地 控制 溢出 后 在 堆栈 中 写 入 的 代码 ,使 
其 能 执行 黑客 的 任意 命令 ,从 而 进入 并 控制 系统 。 

4. 拒绝 服务 攻击 

拒绝 服务 攻击 (DoS) 是 一 种 最 悠久 也 是 最 常见 的 攻击 形式 , 它 利 用 TCP/IP 协议 的 
缺陷 ,将 提供 服务 的 网 络 的 资源 耗 尽 ,导致 网 络 不 能 提供 正常 服务 ,是 一 种 对 网 络 危害 巨 
大 的 恶意 攻击 。 其 实 严格 来 说 拒绝 服务 攻击 并 不 是 某 一 种 具体 的 攻击 方式 ,而 是 攻击 所 
表现 出 来 的 结果 ,最 终 使 得 目标 系统 因 遭 受 某 种 程度 的 破坏 而 不 能 继续 提供 正常 的 服务 ， 
甚至 导致 物理 上 的 瘫痪 或 骨 溃 。Dos 的 攻击 方法 可 以 是 单一 的 手段 ,也 可 以 是 多 种 方式 
的 组 合 利 用 ,不 过 其 结果 都 是 一 样 的 . 即 合 法 的 用 户 无 法 访问 所 需 信息 。 

通常 单一 的 拒绝 服务 攻击 可 分 为 两 种 类 型 : 一 种 攻击 是 黑客 利用 网 络 协议 缺陷 或 系 
统 漏洞 发 送 一 些 非法 的 数据 或 数据 包 , 使 得 系统 死机 或 重新 启动 ,从 而 使 一 个 系统 或 网 络 
瘫痪 ,如 Land 攻击 、WinNuke、Ping of Death、TearDrop 等 ; 另 一 种 攻击 是 黑客 在 短 时 间 
内 发 送 大 量 伪造 的 连接 请 求 报 文 到 网 络 服务 所 在 的 端口 ,例如 80 端口 ,从 而 消耗 系统 的 
带宽 或 设备 的 CPU 和 内 存 , 造 成 服务 器 的 资源 耗 尽 ,系统 停止 响应 甚至 崩溃 ,其 中 ,具有 
代表 性 的 攻击 手段 包括 SYN flood ICMP flood、UDP flood 等 。 

分 布 式 拒绝 服务 (DDoS) 攻 击 是 目前 网 络 的 头号 威胁 ,是 在 传统 的 DoS 攻击 基础 之 
上 产生 的 一 种 攻击 方式 。 单 一 的 DoS 攻击 一 般 采 用 一 对 一 攻击 ,而 分 布 式 的 拒绝 服务 攻 
击 是 黑客 控制 多 台 计 算 机 (可 以 是 几 台 也 可 以 是 成 千 上 万 台 ) 同 时 攻击 ,这 样 的 攻击 即使 
是 一 些 大 网 站 也 很 难 抵御 。 

5. 欺骗 攻击 

常见 的 黑客 欺骗 攻击 方法 有 : IP 欺骗 攻击 .DNS 欺骗 邮件 欺骗 攻击 和 网 页 欺骗 攻 
击 等 。 
(1) IP 欺骗 攻击 。 黑 客 改变 自己 的 IP 地 址 ,伪装 成 别人 计算 机 的 IP 地 址 来 获得 信 
息 或 者 得 到 特权 。 如 UNIX 计算 机 之 间 能 建立 信任 关系 ,使 得 这 些 主机 的 访问 变 得 容 
易 ,而 这 种 信任 关系 基本 上 是 通过 IP 地 址 进行 验证 ,这 样 就 知道 IP 欺骗 做 什么 了 。 

(2) 电子 邮件 欺骗 攻击 。 黑 客 向 某 位 用 户 发 了 一 封 电子 邮件 ,并 且 修 改 了 邮件 头 信 
息 (使 得 邮件 地 址 看 上 去 和 这 个 系统 管理 员 的 邮件 地 址 完全 相同 ), 信 中 他 冒 称 自己 是 系 
统管 理 员 ,说 由 于 系统 服务 器 故障 导致 部 分 用 户 数 据 丢 失 ,要 求 该 用 户 把 他 的 个 人 信息 马 
上 用 E-mail 回复 给 他 ,这 就 是 一 个 典型 的 电子 邮件 欺骗 攻击 。 

(3) 网 页 欺骗 攻击 。 黑 客 将 某 个 站 点 的 网 页 都 复制 下 来 :修改 其 链接 ,使 得 用 户 访问 
这 些 链接 时 先 经 过 黑客 控制 的 主机 ,然后 黑客 会 想方设法 让 用 户 访问 这 个 修改 后 的 网 页 ， 
他 则 监控 用 户 整个 HTTP 请 求 过 程 : 窃 取 用 户 的 账号 和 口令 等 信息 ,甚至 假冒 用 户 给 服 
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务 器 发 送 和 接收 数据 。 如 果 这 个 网 页 是 电子 商务 站 点 , 那 用 户 的 损失 可 想 而 知 。 

6. 了 嗅 探 攻击 

要 了 解 嗅 探 攻击 方法 ,首先 要 知道 它 的 原理 。 网 络 的 一 个 特点 就 是 数据 总 是 在 流动 
中 , 当 数 据 从 网 络 的 一 台 计 算 机 到 另 一 台 计算 机 的 时 候 , 通 常会 经 过 大 量 不 同 的 网 络 设 
备 , 在 数据 传输 过 程 中 ,有 人 可 能 会 通过 特殊 的 设备 ( 嗅 探 器 ,有 硬件 和 软件 两 种 ) 捕 获 这 
些 传输 网 络 数据 的 报 文 ,这 就 是 嗅 探 攻 击 。 

嗅 探 攻 击 主要 有 两 种 途径 。 一 种 是 针对 简单 的 采用 集线器 (Hub) 连 接 的 局 域 网 , 黑 
客 只 要 把 嗅 探 器 安装 到 这 个 网 络 中 的 任何 一 台 计 算 机 上 就 可 以 实现 对 整个 局 域 网 的 侦 
听 , 这 是 因为 共享 Hub 获得 一 个 子 网 内 需要 接收 的 数据 时 ,并 不 是 直接 发 送 到 指定 主机 ， 
而 是 通过 广播 方式 发 送 到 每 台 计 算 机 。 正 常情 况 下 ,数据 接受 的 目标 计算 机 会 处 理 该 数 
据 , 而 其 他 非 接受 者 的 计算 机 就 会 过 滤 这 些 数据 ,但 安装 了 嗅 探 器 的 计算 机 则 会 接受 所 有 
数据 。 另 一 种 是 针对 交换 网 络 的 ,由 于 交换 网 络 的 数据 是 从 一 台 计 算 机 发 送 到 预定 的 计 
算 机 ,而 不 是 广播 的 ,所 以 黑客 必须 将 嗅 探 器 放 到 像 网 关 服务 器 .路 由 器 这 样 的 设备 上 才 
能 监听 到 网 络 上 的 数据 。 当 然 这 比较 困难 ,但 一 旦 成 功 就 能 够 获得 整个 网 段 的 所 有 用 户 
账号 和 口令 ,所 以 黑客 还 是 会 通过 其 他 种 种 攻击 手段 来 实现 它 , 如 通过 木马 方式 将 嗅 探 器 
发 给 某 个 网 络 管理 员 ,使 其 不 自觉 地 为 攻击 者 安装 嗅 探 器 。 

7. 会 话 动 持 攻击 

假设 某 黑客 在 暗地里 等 待 某 位 合法 用 户 通过 Telnet 远程 登录 到 一 台 服 务 器 上 , 当 这 
位 用 户 成 功 地 提交 密码 后 ,黑客 就 开始 接管 该 用 户 当前 的 会 话 并 摇 身 变 成 了 这 个 用 户 ,这 
就 是 会 话 劫持 攻击 。 在 一 次 正常 的 通信 过 程 中 ,黑客 作为 第 三 方 参与 到 其 中 ,或 者 是 在 数 
据 流 (例如 基于 TCP 的 会 话 ) 里 注射 额外 的 信息 ,或 者 是 将 双方 的 通信 模式 暗中 改变 , 即 
从 直接 联系 变 成 有 黑客 联系 。 会 话 劫持 是 一 种 结合 了 嗅 探 以 及 欺骗 技术 在 内 的 攻击 手 
段 , 最 常见 的 是 TCP 会 话 劫持 , 像 HTTP、FTP、Telnet 都 可 能 被 进行 会 话 劫持 。 

要 实现 会 话 劫持 ,黑客 首先 必须 窥探 到 正在 进行 TCP 通信 的 两 台 主 机 之 间 传 送 的 报 
文 源 IP、 源 TCP 端口 号 .目的 IP、 目 的 TCP 端 号 ,从 而 推算 出 其 中 一 台 主 机 将 要 收 到 的 
下 一 个 TCP 报 文 段 中 的 seq 和 ackseq 值 ,这 样 在 该 合法 主机 收 到 另 一 台 合法 主机 发 送 的 
TCP 报 文 前 ,攻击 者 根据 所 截获 的 信息 向 该 主机 发 出 一 个 带 有 净 荷 的 TCP 报 文 ,如 果 该 
主机 先 收 到 攻击 报 文 ,就 可 以 把 合法 的 TCP 会 话 建立 在 攻击 主机 与 被 攻击 主机 之 间 。 带 
有 净 荷 的 攻击 报 文 能 够 使 被 攻击 主机 对 下 一 个 要 收 到 的 TCP 报 文中 的 确认 序号 
(Cackseq) 的 值 发 生变 化 ,从 而 使 另 一 台 合法 的 主机 向 被 攻击 主机 发 出 的 报 文 被 拒绝 。 

会 话 劫持 攻击 避 开 了 被 攻击 主机 对 访问 者 的 身份 验证 和 安全 认证 ,从 而 使 黑客 能 直 
接 进 入 被 攻击 主机 ,对 系统 安全 构成 的 威胁 比较 严重 。 实 现 会 话 劫持 攻击 不 但 需要 复杂 
的 技术 ,而且 还 需要 精确 把 握 攻 击 时 间 ,所 以 会 话 劫持 攻击 并 不 是 太 常 见 。 
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黑客 工具 是 指 编写 出 来 的 用 于 网 络 安全 方面 的 工具 软件 ,其 功能 是 支持 网 络 攻击 过 
程 。 下 面 对 黑 客 的 常用 工具 进行 简单 的 介绍 。 

1. 扫描 类 软件 

通过 扫描 程序 ,黑客 可 以 找到 攻击 目标 的 IP 地 址 、 开 放 的 端口 号 .服务 器 运行 的 版 
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本 ,程序 中 可 能 存在 的 漏洞 等 。 根 据 不 同 的 扫描 目的 ,扫描 类 软件 又 分 为 地 址 扫描 器 、 端 
口 扫 描 器 、 漏 洞 扫描 器 3 个 类 别 。 在 很 多 人 看 来 .这 些 扫描 器 获得 的 信息 大 多 数 都 是 没有 
用 处 的 ,然而 在 黑客 看 来 ,扫描 器 好 比 黑 客 的 眼睛 . 它 可 以 让 黑客 清楚 地 了 解 目 标 , 有 经 验 
的 黑客 则 可 以 将 目标 * 摸 得 一 清二 楚 ? ,这 对 于 攻击 来 说 是 至 关 重 要 的 。 同 时 扫描 器 也 是 
网 络 管理 员 的 得 力 助 手 ,网 络 管理 员 可 以 通过 扫描 器 了 解 自己 系统 的 运行 状态 和 可 能 存 
在 的 漏洞 ,在 黑客 “下 手 ” 之 前 将 系统 中 的 隐患 清除 ,保证 服务 器 的 安全 稳定 。 扫 描 类 软件 
有 流光 、SuperScan、X-way 等 。SuperScan 软件 的 界面 如 图 5-23 所 示 。 


扫描 ”| 主机 和 服务 扫描 设置 | 扫 撕 选项 | 工具 ”| Windows 权 举 | 关于 | 
IP 地 址 
主机 名 /TP | 
开始 I XxX| 
结束 IP XX| 


开始 理 竺 束 理 


-> 
-> 


-> 


Cl=|ln| saw 


图 5-23 ”SuperScan 软件 的 界面 


2. 远程 监控 类 软件 

远程 监控 类 软件 也 叫做 木马 程序 ,这 种 程序 实际 上 是 在 服务 器 上 运行 一 个 客户 端 软 
件 , 而 在 黑客 的 计算 机 中 运行 一 个 服务 端 软件 ,如 此 一 来 .服务 器 将 会 变 成 黑客 的 服务 器 
的 “手下 ”, 也 就 是 说 黑客 将 会 利用 木马 程序 在 服务 器 上 开 一 个 端口 ,通过 这 种 特殊 的 木马 
功能 对 服务 器 进行 监视 .控制 。 因 此 ,只 要 黑客 掌握 了 某 个 木马 的 使 用 和 操作 方法 ,就 可 
以 轻易 接管 网 络 服务 器 或 者 其 他 上 网 者 的 计算 机 。 

在 控制 了 服务 器 之 后 ,黑客 的 攻击 行动 也 就 接近 尾声 了 ,然而 在 攻击 之 前 ,黑客 必须 
想 办 法 让 服务 器 运行 木马 的 客户 端 程序 ,这 就 需要 利用 漏洞 或 者 进行 欺骗 。 远 程 监控 类 
软件 有 冰河 、 灰 鸽子 等 。 冰 河 软件 的 界面 如 图 5-24 所 示 。 

3. 系统 攻击 和 密码 破解 类 软件 

这 类 软件 大 多 数 都 是 由 高 级 黑客 编写 出 来 供 初 级 黑客 使 用 的 现成 软件 ,软件 本 身 不 需 
要 使 用 者 具备 太 多 的 知识 ,使 用 者 只 要 按照 软件 的 说 明 操作 就 可 以 达到 软件 的 预期 目的 。 
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订 河 72.2 [DARKSUR 专 版 ] 
文件 [E] 。 编辑 [E] 。 设置 [9] 。 帮助 0 


强 吕 时 轩 国生 型 轨 尖 全 
当前 连接 : | 二 ] 端口: frezs 访问 口令 : 应 用 [8] 


司 文件 管理 器 | 双 证 人 控制 | 
“BEET 文件 大 不合 节 ) [最 后 更新 时 间 


共有 5 个 对 象 
图 5-24 冰河 软件 的 界面 


系统 攻击 类 软件 主要 分 为 信息 炸弹 和 破坏 炸弹 。 网 络 上 常见 的 垃圾 电子 邮件 就 是 这 
种 软件 的 “杰作 ”, 还 有 聊天 室 中 经 常 看 到 的 * 踢 人 ”“ 吕 人 ”类 软件 ,论坛 的 垃圾 灌水 器 、 系 
统 蓝 屏 炸 弹 也 都 属于 此 类 软件 的 变异 形式 。 

密码 破解 类 软件 可 以 帮助 黑客 寻找 系统 登录 密码 ,相对 于 利用 漏洞 暴力 破解 密码 要 


简单 许多 ,但 效率 非常 低 ,黑客 无 论 是 使 用 密码 破解 软件 还 是 利用 漏洞 进入 系统 之 后 ,都 
达到 了 入 侵 的 目的 。 


常用 的 系统 攻击 和 密码 破解 类 软件 有 漳 雪 、 黑 雨 、 网 络 刺 客 开 等 。 网 络 刺 客 开 软件 的 
界面 如 图 5-25 所 示 。 


人 天 行 软件 之 网 络 刺客 II [CR105 考 版 ] Beta(Build 90) 
主机 资源 人) 共享 资源 GE) 蒲 解 机 CD) 客 码 字典 邮 ) 工具 箱 WD 咱 挥 器 00) 儿 合 配置 C)】 帮助 0 
邓 宇 和 人 儿 记 | 玉 池 下 人 吕 抄 ”人 人 [六 二 
时 间 源 地 址 状态 目标 地 址 用 户 各 密码 


版 权 所 有 E) 天 行 软件 王国 ”作者 : 陈 伟 山 1999.4 于 福建 龙岩 


图 5-25 网 络 刺客 了 [软件 界面 
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180 4. 监听 类 软件 
通过 监听 ,黑客 可 以 截获 网 络 的 信息 包 , 之 后 对 加 密 的 信息 包 进 行 破解 ,进而 分 析 包 
内 的 数据 ,获得 有 关系 统 的 信息 ; 也 可 以 截获 个 人 上 网 的 信息 包 , 获 得 用 户 的 上 网 账号 、 
系统 账号 .电子 邮件 账号 等 个 人 隐私 资料 。 监 听 类 软件 有 Sinffit、nc 和 CaptureNet 等 。 
CaptureNet 软件 的 界面 如 图 5-26 所 示 。 


无 标题 - CaptureNet v3.12 
Eile 下 em Captue Jelp 
XB 国人 |Aaapter :Realtek Packets in 0 My Peepiet 


“| [xe Time hin-sims) 
HAC 而 本 融 西 歌 一 | 
IP address 172 16 32.164 
Capture 


WS misplay captw 


Har dware Filter 
[Promiscuous 


.可 


Software filter, NULL 


Nodify 
可 filter 


Moneet rina 
Filter files 


图 5-26 ”CaptureNet 软件 界面 


5.5 本 章 小 结 


本 章 主要 介绍 了 加 强 计算 机 网 络 系统 安全 性 的 主要 方法 和 技术 手段 。 

在 增强 操作 系统 安全 性 上 ,主要 学 习 了 Windows 2003 在 域 模式 下 提高 系统 安全 性 
的 主要 技术 手段 : 身份 认证 和 访问 控制 。 这 些 工 作 都 是 操作 系统 在 后 台 自 动 进行 的 ,是 
网 络 环境 下 进行 资源 共享 、 信 息 共 享 的 基础 ,对 于 它 的 学 习 有 助 于 我 们 理解 与 之 相关 的 网 
络 设置 和 网 络 编程 。 

在 增强 系统 安全 性 上 ,主要 介绍 了 计算 机 病毒 的 特点 、 工 作 原 理 及 常用 的 防 病毒 技 
术 。 同 时 还 介绍 了 防火 墙 技术 以 及 常用 的 防火 墙 的 体系 结构 ,通过 学 习 了 解 到 防火 墙 是 
进行 内 、 外 网 分 隔 的 有 效 工 具 . 同 时 体会 到 防 病毒 软件 与 防火 墙 在 提高 计算 机 网 络 安 全 性 
上 的 不 同 功用 。 最 后 简单 介绍 了 破坏 计算 机 网 络 系统 的 人 一 一 黑客 ,以 及 黑客 常用 的 进 
攻 和 手段 和 进攻 过 程 。 
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5.6 本 章 习 题 
. 简 述 Windows 2003 进行 身份 认证 的 基本 过 程 。 
. 简 述 计算 机 病毒 的 基本 工作 过 程 及 主要 的 防 病 毒 技术 。 


. 简 述 防火 墙 的 工作 原理 及 体系 结构 。 
. 简 述 CIH 病毒 与 蠕虫 病毒 的 区 别 。 


wD 


第 和 章 


网 络 安全 工具 的 使 用 


【本 章 内 容 】 

作为 第 5 章 的 实 训 环 节 ,本 章 主 要 介绍 常见 的 增强 计算 机 网 络 系统 安全 性 软件 的 
使 用 方法 。 通 过 防火 墙 软件 、 防 病毒 软件 的 使 用 ,进一步 深化 对 第 5 章 知识 的 理解 , 同 
时 介绍 了 黑客 基于 局 域 网 的 攻防 过 程 和 配置 服务 器 时 应 注意 的 问题 。 
【本 章 重 点 】 了 

@ 掌握 常见 防火 墙 的 使 用 方法 。 

@ 学 会 使 用 服务 器 版 杀毒 软件 。 

@ 回 了解 黑客 攻击 的 一 般 流程 ,以 及 一 些 防御 手段 。 

@@ 知道 保证 服务 器 安全 的 一 些 常规 设置 。 

@@ 体会 软件 中 相关 设置 的 修改 对 计算 机 网 络 安全 性 的 影响 。 


本 章 主要 介绍 增强 计算 机 网 络 安全 性 的 一 些 常 用 软件 的 使 用 方法 ,例如 ,防火 墙 软件 
及 防 病毒 软件 。 通 过 这 些 软 件 的 学 习 与 使 用 .增强 对 于 网 络 安全 的 基础 知识 的 理解 ,体会 
软件 相关 设置 的 修改 可 能 对 系统 安全 性 造成 的 影响 ,进而 能 够 按照 用 户 的 需求 建立 一 个 
完整 的 、 安 全 的 网 络 系统 。 本 章 还 介绍 了 一 个 基于 局 域 网 的 简单 的 黑客 攻击 过 程 ,希望 读 
者 能 从 正 反 两 个 方面 认识 计算 机 网 络 安全 的 重要 性 。 


6.1 防火 增 软 件 的 使 用 案例 


6.1.1 Windows Server 2003 防火 墙 


Windows Server 2003 自 带 的 防火 墙 叫做 Internet 连接 防火 墙 (ICF) ,是 一 种 防火 墙 
软件 ,可 以 拦截 来 自 网 络 中 的 非法 通信 。Internet 连接 防火 墙 允许 安全 的 网 络 通 信 进 入 
网 络 系统 ,同时 拒绝 不 安全 的 通信 进入 ,从 而 使 网 络 系统 免 受 外 来 威胁 。Internet 连接 防 
火 墙 、Internet 连接 共享 和 网 桥 功能 只 包含 在 Windows Server 2003 Standard Edition 和 
32 位 版 本 的 Windows Server 2003 Enterprise Edition 中 。 在 Windows Server 2003 Web 
Edition、32 位 版 本 的 Windows Server 2003 Datacenter Edition 和 64 位 版 本 的 Windows 
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Server 2003 中 不 包含 这 两 个 功能 。 

1. 启用 Internet 连接 防火 墙 

在 “控制 面板 "窗口 中 单 击 “ 网 络 连接 ”图 标 .在 “网 络 连接 ”窗口 中 右 击 “本 地 连接 ”图 
标 ,在 弹出 的 快捷 菜单 中 选择 “属性 "命令 ,系统 将 弹出 “本 地 连接 属性 ?对 话 框 ,如 图 6-1 
所 示 。 

在 “本 地 连接 属性 ”对 话 框 的 “高 级 "选项 卡 中 单 击 “ 设 置 ”按钮 ,弹出 *Windows 防火 
墙 ” 对 话 框 ,如 图 6-2 所 示 。 


| 
定 坑 | 外 | 高 级 | 
可 
ia 二 电脑 
窜 规 | 斑 证 | 高 级 | 
连 援 时 使 用 和 于 户 通 过 Interaet 或 网 络 访问 您 的 计算 | 
BW Intel KR) PEO/100 VE Network Ce 
是 启用 (o) 


埠 有 上 HE ， 除了 在 “例外 ”选项 卡 


厂 不 允许 例外 0) 


一 人 
安装 咯 抽 载 属性 @B) | 
说 明 
区 许 您 的 计算 机 访问 上 eresoft 网 络 上 的 资源 。 入 © 
注入 内 伟 半生 六 加 Windows 防火 墙 可 能 使 计算 机 更 容易 受 


订 连接 后 在 通知 区 域 显示 图 标 地 ) 
末 此 主 接 被 限制 或 无 连接 时 通知 我 昌 ) 
有 关 信息 ， 请 访问 此 crosoft 网 站 。 


Cue]_ mi | 
图 6-1 “本 地 连接 属性 ?对话 框 图 6-2 “Windows 防火 墙 ? 对 话 框 


系统 默认 防火 墙 是 关闭 的 .在 “Windows 防火 墙 ” 对 话 框 中 选中 “启用 ” 单 选 按 钮 , 单 
击 “ 确 定 按钮 ”, 使 可 以 启动 Internet 连接 防火 墙 。 启动 Internet 连接 防火 墙 之 后 ,在 “网 
络 连接 ”窗口 中 的 “本 地 连接 ?图标 将 变 为 王 , 网 络 中 的 其 他 用 户 将 不 能 够 访问 系统 所 提 
供 的 服务 。 

2. 添加 允许 通过 防火 墙 的 端口 

为 了 使 网 络 中 的 安全 服务 能 够 通过 某 些 端口 访问 本 系统 ,可 以 在 "Windows 防火 
墙 ? 对 话 框 的 “例外 ?选项 卡 中 添加 允许 通过 防火 墙 访问 系统 的 程序 和 端口 ,如 图 6-3 
所 示 。 

例如 ,诺顿 杀毒 软件 在 漫游 客户 端 时 是 通过 1056 端口 连接 到 服务 器 的 。 在 “例外 ” 选 
项 卡 中 单 击 “ 添 加 端口 ”按钮 ,在 弹出 的 “添加 端口 "对话 框 中 添加 1056 端口 , 单 击 “ 确 定 ” 
按钮 ,从 而 使 诺顿 服务 可 以 通过 防火 墙 ,如 图 6-4 所 示 。 

3. 添加 允许 通过 防火 墙 的 服务 

Internet 连接 防火 墙 在 没有 添加 服务 之 前 ,服务 器 所 提供 的 任何 服务 都 不 允许 网 络 
中 的 计算 机 访问 ,例如 Web 服务 。 为 了 使 其 他 计算 机 能 够 访问 服务 器 的 Web 服务 ,就 必 
须 在 Internet 连接 防火 墙 中 进行 添加 。 
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添加 程序 全 )... | 添加 请 口 吕 ) .| _ 宙 窒 各 由 除 中 


Yindows 防火 墙 阻止 程序 时 通知 我 中 


图 6-3 “例外 ”选项 卡 图 6-4 “添加 端口 "对 话 框 


在 “Windows 防火 墙 * 对 话 框 的 “高 级 ”选项 卡 中 选择 对 外 服务 的 网 络 连接 ,如 图 6-5 
所 示 。 

在 “高 级 ”选项 卡 的 “网 络 连接 设置 "选项 组 中 单 击 “ 设 置 " 按 钮 ,弹出 “高 级 设置 "对话 
框 ,如 图 6-6 所 示 。 在 该 对 话 框 中 选择 “Web 服务 器 (HTTP)" 复 选 框 , 单 击 “ 确 定 ” 按 钮 ， 
网 络 中 的 其 他 计算 机 就 可 以 访问 服务 器 所 提供 的 Web 服务 了 。 


| 
| 
服务 |Icwe | 
| 扩 nteret 用 户 可 以 in 有 的 运行 于 作风 风 络 上 有 
CE 村 四 | 可 
| 口 Internet 邮件 访问 协议 版 本 3 CMAP3) 
口 Internet 邮件 访问 协议 版 本 4 CIAF4) 
-安全 日 志 记 录 口 i CNTP) 
称 可 以 名 建 用 于 疑难 解答 的 日 志文 件 。 | 
百 口 闻 局 内 议 版 本 3 3 op3) 
ee 和 ， 网络 上 的 计 口 远程 点 面 
默认 设置 
融 有 k 墙 设置 还 原 为 默认 状态 ， 。 还 原 为 默认 值 @) | 
| 添加 虽 . 编辑 中 到 
el 


图 6-5 “高 级 "选项 卡 图 6-6 “高 级 设置 ”对话 框 


4. 添加 允许 通过 防火 墙 的 响应 请 求 

在 添加 了 Web 服务 以 后 ,网络 中 的 其 他 
计算 机 虽然 能 够 访问 服务 器 的 Web 服务 .但 
是 其 他 计算 机 在 DOS 窗口 中 使 用 Ping 命令 
时 ,会 返回 Request timed out. 的 信息 ,表示 这 
个 服务 器 是 禁 Ping 的 。 

要 使 服务 器 能 够 响应 Ping 命令 ,需要 在 

遍 级 设置 ?对 话 框 的 ICMP 选项 卡 中 选择 “ 允 
许 传人 响应 请 求 ” 复 选 框 , 如 图 6-7 所 示 , 单 击 
“确定 ”按钮 就 可 以 了 。 

图 6-8 所 示 为 允许 Ping 命令 之 前 客户 端 
返回 服务 器 所 响应 的 数据 ,图 6-9 所 示 为 允许 
Ping 命令 之 后 客户 端 返回 服务 器 所 响应 的 
数据 。 
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到 


服务 Ice | 
和 I 
FRE 


et 


CE 


口 允许 传 和 时 间 夭 | 青 求 
口 允许 传 入 掩 码 请 求 
口 允许 传 和 路 由 器 请 和 
口 花 许 传 出 目标 不 可 访问 信息 
口 郊 评传 出 源 降 低 加 | 
口 允许 传 出 参数 有 问 
口 允许 传 出 时 间 超 8 信 息 


口 认 话 重 定向 加 


描述 
区 这 区 


| 发 送 看。 这 通常 
?例如 ,ping 一 台 机 器 ， 


wm 


图 6-7 ICMP 选项 卡 


图 6-9 允许 Ping 命令 之 后 客户 端 返回 服务 器 所 响应 的 数据 


612 天 网 防火 墙 


天 网 防火 墙 是 国内 外 针对 个 人 用 户 最 好 的 中 文 软件 防 二 
案件 数量 直线 上 升 的 情况 下 ,用 户 随时 都 可 能 遭 到 各 种 恶意 攻击 ， 这 些 恶意 攻击 可 能 导致 


。 在 目前 网 络 受 攻击 
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186 ”用户 的 上 网 账号 被 窃取 和 时 用 、 银 行 账号 被 盗用 .电子 邮件 密码 被 修改 .财务 数据 被 利用 、 
机 密 档案 丢失 隐私 曝 光 等 ,其 至 黑客 (Hacker) 或 剑客 (Cracker) 能 通过 远程 控制 删除 用 
户 硬 盘 上 所 有 的 资料 数据 ,使 用 户 整个 计算 机 系统 架构 全 面 崩溃 。 为 了 抵御 黑客 或 剑客 
的 攻击 ,建议 用 户 在 个 人 计算 机 上 安装 一 套 天 网 防火 墙 个 人 版 , 它 能 拦截 一 些 来 历 不 明 、 
有 害 敌 意 访问 或 攻击 行为 。 图 6-10 所 示 为 “天 网 防火 墙 个 人 版 "应 用 程序 界面 。 


图 6-10 “天 网 防火 墙 个 人 版 "应 用 程序 界面 


1. 安全 级 别 设置 

天 网 防火 墙 个 人 版 的 预 设 安全 级 别 分 为 低 、 中 、 高 .扩展 和 自 定义 5 个 等 级 ,默认 的 安 
全 等 级 为 中 级 ,下 面 介绍 各 个 级 别 所 代表 的 含义 。 

(1) 低 。 所 有 应 用 程序 初次 访问 网 络 时 都 将 询问 ,已 经 被 认可 的 程序 则 按照 设置 的 
相应 规则 运作 。 用 户 的 计算 机 将 完全 信任 局 域 网 ,允许 局 域 网 内 部 的 机 器 访问 自己 提供 
的 各 种 服务 (文件 .打印 机 共享 服务 ) .但 禁止 互联 网 上 的 机 器 访问 这 些 服务 。 该 级 别 适用 
于 在 局 域 网 中 提供 服务 的 用 户 。 

(2) 中 。 所 有 应 用 程序 初次 访问 网 络 时 都 将 询问 ,已 经 被 认可 的 程序 则 按照 设置 的 
相应 规则 运作 。 禁 止 访 问 系统 级 别 的 服务 (如 HTTP、FTP 等 )。 局 域 网 内 部 的 机 器 只 允 
许 访问 文件 .打印 机 共享 服务 。 使 用 动态 规则 管理 ,允许 授权 运行 的 程序 开放 的 端口 服务 ， 
例如 ,网 络 游戏 或 者 视频 语音 电话 软件 提供 的 服务 。 该 级 别 适 用 于 普通 个 人 上 网 用 户 。 

(3) 高 。 所 有 应 用 程序 初次 访问 网 络 时 都 将 询问 ,已 经 被 认可 的 程序 则 按照 设置 的 
相应 规则 运作 。 禁 止 局 域 网 内 部 和 互联 网 上 的 机 器 访问 自己 提供 的 网 络 共享 服务 (文件 、 
打印 机 共享 服务 ) ,局域网 和 互联 网 上 的 机 器 将 无 法 看 到 本 机 器 。 除 了 已 经 被 认可 的 程序 
打开 的 端口 ,系统 会 屏蔽 掉 向 外 部 开放 的 所 有 端口 。 该 级 别 是 最 严密 的 安全 级 别 。 

(4) 扩展 。 基 于 中 安全 级 别 , 再 配合 一 系列 专门 针对 木马 和 间谍 程序 的 扩展 规则 ,可 
以 防止 木马 和 间谍 程序 打开 TCP 或 UDP 端口 监听 甚至 开放 未 许可 的 服务 。 可 以 根据 
最 新 的 安全 动态 对 规则 库 进 行 升 级 。 该 级 别 适 用 于 需要 频繁 试用 各 种 新 的 网 络 软件 和 服 
务 且 需要 对 木马 程序 进行 足够 限制 的 用 户 ( 试 用 版 用 户 不 享受 这 项 服务 ) 。 

(5) 自 定义 。 如 果 用 户 了 解 各 种 网 络 协 议 , 可 以 自己 设置 规则 。 注 意 ,规则 设置 不 正 
确 会 导致 无 法 访问 网 络 。 该 级 别 适用 于 对 网 络 有 一 定 了 解 并 需要 自行 设置 规则 的 用 户 。 

2. IP 规则 设置 

IP 规则 是 针对 整个 系统 的 网 络 层 数据 包 监 控 而 设置 的 。 利 用 自 定义 IP 规则 ,可 以 
针对 不 同 的 网 络 状 态 , 设 置 IP 安全 规则 。 在 “天 网 防火 墙 个 人 版 ”窗口 中 单 击 IP 规则 管 
理 ” 按 钮 或 者 在 “安全 级 别 ” 中 选中 “ 自 定义 ” 单 选 按钮 ,进行 IP 规则 的 设置 ,如 图 6-11 
所 示 。 

需要 注意 的 是 ,在 设置 IP 规则 时 要 尽量 将 允许 的 IP 规则 放 在 禁止 的 IP 规则 之 前 ， 
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图 6-11 
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这 样 天 网 防火 墙 个 人 版 在 匹配 了 允许 的 IP 规则 之 后 ,不 会 去 检测 禁止 的 IP 规则 ,这样 可 


以 提高 IP 规则 的 运行 效率 。 


6.2 防 病毒 软件 的 使 用 案例 及 经 验 


621 诺顿 杀毒 软件 的 使 用 方法 
1. 诺顿 杀毒 软件 (Symantec) 的 更 新 


在 默认 安装 的 情况 下 ,诺顿 杀毒 软件 的 更 新 被 调度 为 在 每 周 五 晚上 8 点 自动 运行 。 
在 运行 调度 更 新 时 ,计算 机 必须 正在 运行 并 且 可 以 访问 Internet。 

诺顿 的 调度 更 新 时 间 可 以 进行 修改 ,在 诺顿 杀毒 软件 窗口 的 “文件 ”菜单 中 选择 “调度 
更 新 ”命令 ,弹出 “调度 病毒 定义 更 新 ”对 话 框 ,如 图 6-12 所 示 。 


调度 病毒 定义 更 新 


| 请 设置 自 计划 
一 自动 更 新 
万 启用 调度 的 自动 更 新 到) 
ED 调度 @). | 


取消 


图 6-12 “调度 病毒 定义 更 新 ”对 话 框 


在 “调度 病毒 定义 更 新 ”对 话 框 中 单 击 “ 调 度 ” 按 钮 .可 以 修改 调度 更 新 的 时 间 。 
诺顿 杀毒 软件 的 调度 更 新 提供 了 一 种 方便 的 更 新 方式 .但 是 不 能 保证 所 有 计算 机 在 
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188 ”调度 更 新 时 都 能 够 连接 Internet, 所 以 有 时 需要 手动 更 新 病毒 库 。 另 外 当 系 统 报告 有 新 
病毒 时 ,不 要 等 到 下 次 调度 的 更 新 ,而 应 当 立 即 更 新 病毒 防护 。 在 诺顿 杀毒 软件 窗口 中 单 
击 LiveUpdate 按钮 ,启动 手动 更 新 ,如 图 6-13 所 示 。 


| 


欢 J 地 全 用 Livepdate Psymantec. 
以 下 Symantee 产品 和 昭 件 已 安装 到 你 的 计算 机 上 : 


Avenee 1 5 Microlefs2 Corp 9 
入 Liveupaate 
可 Symantec AntiVirus Corperate Client HT 


单 击 “ 下 一 步 ” 查看 可 用 的 更 新 。 


LE ww | ww | 
图 6-13 手动 更 新 窗口 


单 击 * 下 一 步 ” 按 钮 ,只 要 计算 机 连接 到 Internet 并 且 有 新 的 病毒 库 , 计 算 机 便 会 进行 
更 新 ,手动 更 新 进度 显示 如 图 6-14 所 示 。 


LiveWpdate xl 


Livelpdate 正在 下 载 下 列 Symwntee 产品 和 组 件 的 更 新 : 


Avenge 1.5 MicroDefs2 Corp 9 


ms 1.5 MieroDefs2 Corp 9 (3686.0 KB 共 14429.... 


正在 获 了 第 2 个 更 新 ( 共 2 个 》( 5361.8 2B 共 16105.1 到 
EE 


A) sz | 帮助 


图 6-14 手动 更 新 进度 显示 


病毒 库 更 新 完毕 单 击 “ 下 一 步 ?按钮 ,会 显示 更 新 完成 :如 图 6-15 所 示 。 单 击 “ 完 成 ” 
按钮 ,诺顿 杀毒 软件 会 具有 最 新 的 防 病毒 能 力 。 

2. 使 用 诺顿 杀毒 软件 扫描 计算 机 

在 诺顿 杀毒 软件 窗口 的 左 侧 选择 “扫描 计算 机 ”, 然 后 在 右 侧 列表 框 中 选择 需要 进行 
扫描 的 盘 符 ,如 图 6-16 所 示 。 

单 击 “ 扫 描 ” 按 钮 .诺顿 杀毒 软件 会 对 选中 磁盘 中 所 有 已 知 的 病毒 进行 查 杀 ,如 图 6-17 
所 示 。 
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Update EE 
四 ) 


人 LiveVpdate。 下 列 Symantec 产品 和 组 件 是 景 新 


BB Avenge 1 5 MicroDefs2 Corp 9 
SE Symantec AntiVirus Corporate Client WT 
MA LiveUpdate 


PE update 成 功 应 用 了 全 部 2 个 可 用 更 新 。 您 所 有 的 产 


so | 


6-15 更 新 完成 


下 
最 DYD/CD-RY 豫 动 器 (0;) 


图 6-16 扫描 计算 机 


fn 扫 撕 计算 机 启动 于 2007-3-22 1:56:20 =1|G| xj 
| 产 于 下 | 本 证 | 令 


adninistrator@allyes[2]. txt 
Ky cioocments ma Settines Wninistretor\Cooies 


6-17 ”病毒 查 杀 
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190 在 查 杀 过 程 中 ,如 果 计 算 机 中 有 病毒 ,默认 情况 下 系统 会 弹出 一 个 消息 框 通知 用 户 ， 
如 果 病 毒 比较 多 ,用 户 就 需要 不 断 地 关闭 消息 框 ,为 了 避免 这 种 情况 发 生 , 可 以 在 图 6-16 
中 单 击 “ 选 项 ”按钮 ,系统 弹出 “扫描 选项 ”对 话 框 ,如 图 6-18 所 示 。 


ISI 
en. CR 
文件 类 型 一 一 一 一 一 一 一 宏 病 表 | 丰 宏 病毒 | 扩展 威胁 | 
人 所 有 闫 型 从) 人 
所 4 型 C5) 二 层 汪 已 | 。 质 除 文人 中 的 后 二 司 


图 6-18 “扫描 选项 "对话 框 


在 该 对 话 框 中 将 “在 受 感染 的 计算 机 上 显示 消息 (D)” 前 面 的 对 勾 去 掉 , 再 单 击 “ 确 
定 ” 按 钮 对 计算 机 进行 扫描 ,这 样 在 计算 机 扫描 磁盘 并 发 现 病毒 时 就 不 会 弹出 消息 框 。 


622 使 用 卡巴 斯 基 的 命令 行 方式 对 服务 器 进行 杀毒 


网 络 版 的 卡巴 斯 基 有 两 种 客户 端 : 工作 站 版 和 服务 器 版 。 工 作 站 版 杀毒 软件 是 不 能 
安装 在 Windows Server 操作 系统 上 的 ,其 使 用 方法 和 其 他 杀毒 软件 的 使 用 方法 基本 相 
同 。 服 务 器 版 安装 以 后 ,没有 图 形 界面 可 以 进行 杀毒 操作 。 如 果 想 对 服务 器 进行 杀毒 有 
两 种 方法 ,第 一 种 方法 是 使 用 网 络 版 的 管理 服务 器 进行 杀毒 操作 , 另 一 种 方法 是 使 用 
DOS 命令 进行 杀毒 操作 。 

1. 卡巴 斯 基 命 令 行 所 支持 的 命令 

使 用 命令 行 可 以 运行 卡巴 斯 基 反 病毒 程序 ,所 支持 的 命令 如 下 : 


SCAN 扫描 所 选 的 对 象 

FULLSCAN 完整 的 计算 机 扫描 

UPDATE 更 新 反 病 毒 数据 库 和 应 用 程序 模块 
ROLLBACK 恢复 到 最 后 一 次 病毒 库 更 新 之 前 的 状态 
RTP 实时 保护 方式 管理 

STRRT 运行 卡巴 斯 基 反 病毒 程序 

STOP 停止 卡巴 斯 基 反 病毒 程序 

TRSK 管理 卡巴 斯 基 反 病毒 程序 任务 


CONVERT 报告 转换 成 为 容易 阅读 的 格式 
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2. 使 用 命令 行 方式 扫描 磁盘 

使 用 命令 行 方式 扫描 服务 器 需要 在 DOS 窗口 中 进入 卡巴 斯 基 的 安装 目录 ,默认 安装 
目录 是 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for File Servers 5 二 ,在 
命令 提示 符 下 输入 kavshell scan c: d: ,其 中 c: 和 d: 为 系统 盘 符 。 

SCAN 命令 有 许多 参数 ,其 中 ,DISINFECT 参数 可 以 对 扫描 过 程 中 发 现 的 病毒 进行 
查 杀 ,DELETE 参数 可 以 对 发 现 的 病毒 进行 删除 ,但 这 两 个 参数 不 能 同时 使 用 ,例如 ， 

kavshell scan c: d: /disinfect 
或 

kavshell scan c: d: /delete 

3. 使 用 命令 行进 行 完整 扫描 

完整 的 计算 机 扫描 命令 是 FULLSCAN ,例如 ， 

kavshell fullscan 

也 可 以 将 完整 扫描 后 的 日 志文 件 存 入 指定 的 文档 ,用 于 扫描 完成 后 进行 查看 ,例如 ， 

kavshell fullscan /WA: fullscan. log 

4. 使 用 命令 行 运行 更 新 

运行 更 新 的 命令 是 UPDATE, 例 如 ， 

kavshell update 

默认 情况 下 是 更 新 病毒 库 和 应 用 程序 模块 ,车 只 更 新 应 用 程序 模块 可 以 增加 APP 参 
数 ,例如 ， 

kavshell update /APP 

5. 其 他 命令 

卡巴 斯 基 服 务 器 版 还 有 其 他 命令 .在 DOS 提示 符 下 可 以 使 用 *?” 号 查看 命令 的 帮助 
文档 ,例如 ， 


kavshell /? 或 kavshell scan /? 


623 杀毒 软件 的 选择 


病毒 仍 在 肆虐 全 球 , 它 的 数目 和 种 类 如 此 之 多 ,而 与 之 针锋相对 的 杀毒 软件 也 在 日 新 
月 异地 变化 。 对 杀毒 软件 的 选择 有 时 也 很 让 用 户头 疼 , 一 个 好 的 杀毒 软件 必须 具有 以 下 


特点 才 值 得 用 户 使 用 。 
(1) 能 查 杀 病 毒 的 数量 要 多 。 此 外 还 要 求 反 病毒 软件 在 杀毒 时 不 破坏 文件 ,运行 可 
靠 ,杀毒 时 不 出 现 死机 现象 。 


(2) 要 有 实时 反 病毒 的 防火 墙 技术 。 实 时 防火 墙 技术 就 是 时 刻 监视 系统 状况 ,对 病 
毒 的 传播 途径 进行 严密 的 封锁 ,将 病毒 阻止 在 操作 系统 之 外 。 
(3) 内 存 占有 量 小 ,恢复 数据 能 力 要 强 。 一 旦 病毒 发 作 , 杀 毒 软件 应 能 迅速 修复 被 破 


WL 
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坏 的 硬盘 分 区 表 , 然 后 恢复 分 区 上 的 数据 。 杀 毒 软件 占 内 存 小 ,意味 着 不 影响 其 他 程序 的 
运行 。 

(4) 软件 有 及 时 的 升级 服务 和 良好 的 售后 服务 。 及 时 升级 就 能 在 最 短 的 时 间 内 对 最 
新 的 病毒 做 出 反应 ,保证 系统 的 安全 性 ,良好 的 售后 服务 能 对 客户 的 合理 要 求 做 出 正确 的 
回复 。 


6.3 黑客 攻防 案例 


631 入 侵 案 例 


该 案例 所 攻击 的 服务 器 IP 地 址 为 192. 168. 1. 2, 所 使 用 的 第 三 方 软件 为 X-Scan v3. 2。 

1. 获得 用 户 名 和 密码 

黑客 在 进行 攻击 的 时 候 最 想 获得 用 户 名 和 密码 ,因为 只 要 获得 用 户 名 和 密码 就 可 以 
控制 服务 器 。 

X-Scan 软件 是 安全 焦点 (http://www. xfocus. org) 版 权 所 有 的 一 款 漏洞 检测 软件 ， 
通过 这 个 软件 可 以 检测 到 网 络 中 计算 机 的 用 户 名 和 弱 口 令 。X-Scan v3.2 GUI 窗口 如 
图 6-19 所 示 。 


设置 由) 查看 GO) 工具 QD) Langusge 帮助 区 ) 


JOGjPuem| 加 | 国名 | 回 
日 饮 192. 188.12 
由 总 ;开放 服务 
日 二 


Hl i168.1 人 区 国 
[192. 168. 1 引 “Snmp 信 息 ” 


| 正在 结束 线程 


撕 全 部 完成 ， 扫 撕 时 间 : 2007-4-3 12:03:04 至 
07-4-3 12:04:03 


etive thread: 0 


图 6-19 X-Scan v3.2 GUI 窗口 


在 该 窗口 中 可 以 看 到 X-Scan 检测 到 NT-Server 弱 口 令 , 所 以 192. 168. 1. 2 的 用 户 名 
为 administrator ,密码 为 123456 。 

2. 远程 修改 注册 表 

黑客 知道 了 用 户 名 和 密码 以 后 ,将 本 机 的 用 户 名 和 密码 进行 修改 ,并 要 和 192. 168. 1. 2 
的 用 户 名 和 密码 相同 ,否则 在 连接 网 络 注 册 表 系统 时 会 出 现 错误 提示 。 

在 Windows Server 2003 系统 中 选择 “开始 ”一 “运行 ”命令 ,在 “运行 "对话 框 中 输 
regedit, 单 击 “ 确 定 ” 按 钮 ,打开 “注册 表 编 辑 器 ”窗口 ,如 图 6-20 所 示 。 
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十 193 
文件 下 ) 编辑 企 ) 查看 YY) 收 蕊 夹 G) 帮助 QD 


图 6-20 “注册 表 编辑 器 ”窗口 
在 “注册 表 编辑 器 ?窗口 中 选择 “文件 ”一 “连接 网 络 注册 表 ?” 命 令 , 打 开 * 选 择 计 算 机 ” 
对 话 框 , 如 图 6-21 所 示 。 
到 到 
介 择 对 象 关 型 G) 
Fm 
查抄 位 置 思 ) 
| 


输入 要 选择 的 对 象 名 称 (9 加) 全); 


i 蒂 坷 名 称 [J 


Eve|Ewal, 


图 6-21 “选择 计算 机 ”对 话 框 


在 “选择 计算 机 ”对 话 框 的 “输入 要 选择 的 对 象 名 称 (例如 )” 文 本 框 中 输入 192. 168. 1. 2, 单 
击 “ 确 定 ” 按 钮 ,注册 表 编 辑 器 会 连接 到 远程 服务 器 192. 168. 1. 2, 如 图 6-22 所 示 。 


站 
文件 于 编辑 开 】 查看 0 收藏 严 息 ) 帮助 0 


外 国 MIEY_CUASSES_RDoT 
外国 MEEY_CURRENT_USER 


图 6-22 ”连接 到 192. 168. 1. 2 


打开 192. 168. 1. 2 的 注册 表 项 : HKEY _ LOCAL _MACHINE\SYSTEM\ 
CurrentControlSet\Control\ Terminal Server, 将 其 中 fDenyTSConnections 的 键 值 修改 
为 0,0 代表 启用 远程 桌面 .1 代表 禁用 远程 桌面 .如 图 6-23 所 示 。 
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194 9lx 
文件 加 过 辑 和 查看 上 收 写 天 帮助 0D 
serneeroworaer <] [EB 


医 工 3 
处 值 未 设置 
0x00000001 (1) 
Ox00000001 (1) 


由 国 ServiceProvider 

由 国 Session Wanager 
鲁 setup 

由 国 stilltaage 


0x00000000 (0) 
由 国 SystenResources 0ox00000001 (1) 
HI Terminal Server Ox0000000€ (15) 
是 Twonmtom | | 国 Sineesessionreryser Ox00000000 (0) 
加 Waste 辆 fritwaeTsccpemTu 0x00000001 (1) 
由 国 webmaes 0x00000000 (0) 


由 国 Video 加 | 
» 


Nige, 166.1 2\HREY_LOCAL, MACHINE\SYSTEN\Curr entControlSet\Control\Terninal Server 


6-23 ”修改 键 值 


WiTerh Ml ta 
» 


3. 重新 启动 远程 服务 器 
修改 完 注 册 表 后 ,可 以 使 用 shutdown 
命令 对 其 重新 启动 远程 服务 器 : 


shutdown -m 192.168.1.2 -r 


4. 远程 登录 服务 器 

选择 “开始 ”一 “程序 ”一 “附件 一“ 通 
讯 *>“ 远 程 桌面 连接 ”命令 ,弹出 如 图 6-24 图 6-24 “远程 桌面 连接 ”对 话 框 
所 示 的 “远程 桌面 连接 ”对 话 框 。 

在 该 对 话 框 中 输入 远程 计算 机 的 IP 地 址 192. 168. 1. 2, 单 击 “ 连 接 ” 按 钮 ,弹出 远程 
桌面 的 登录 界面 ,如 图 6-25 所 示 。 


Hn 
取消 帮助 和 D | 选项 四 ) >> 


登录 到 Windows = 
‘ § Windows Server2003 


Enterprse Editon 


用 PSU ace 
BE | 


取消 。 | 远 项 >》 


图 6-25 登录 界面 
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在 登录 界面 中 输入 用 户 名 Administrator 和 密码 123456, 单 击 “ 确 定 ” 按 钮 ,远程 桌面 195 
就 会 登录 到 192. 168. 1. 2 的 系统 中 ,如 图 6-26 所 示 。 


则 ftM| | 苏 回 国富! 00 1 -二 而 17D ot 


图 6-26 登录 成 功 


成 功 进 入 192. 168. 1. 2 的 系统 ,标志 着 黑客 此 次 入 侵 完成 。 
632 防御 案例 


1. 修改 TTL 值 防止 黑客 辨别 操作 系统 

黑客 经 常会 根据 对 方 的 操作 系统 来 策划 攻击 方案 ,一 般 是 通过 Ping 对 方 主机 所 返回 
的 TTL 值 来 判断 对 方 的 操作 系统 。 不 同 的 操作 系统 的 TTL 值 是 不 相同 的 ,默认 情况 
下 ,Linux 系统 的 TTL 值 为 64 或 255, Windows NT/2000/XP 系统 的 TTL 值 为 128， 
Windows 98 系统 的 TTL 值 为 32, UNIX 主机 的 TTL 值 为 255。 如 果 将 Windows Server 
2003 的 TTL 值 修改 为 255, 那 么 黑客 就 会 以 为 这 个 服务 器 是 Linux 系统 或 UNIX 系统 ， 
就 会 针对 Linux 系统 或 UNIX 系统 来 查找 服务 器 的 安全 漏洞 ,但 是 黑客 不 会 找到 服务 器 
的 安全 漏洞 ,因为 操作 系统 的 类 型 不 一 样 ,这 样 一 来 ,服务 器 就 安全 多 了 。 

只 要 修改 注册 表 就 可 以 修改 Windows Server 2003 的 TTL 值 。 选 择 * 开 始 ”>“ 运 
行 ”命令 ,在 “运行 "对话 框 中 输入 regedit , 单 击 * 确 定 ?按钮 ,弹出 “注册 表 编 辑 器 ”窗口 ,如 
图 6-27 所 示 。 

展开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\ 


加 


文件 全 ) 坊 往 E) 查看 WW 收 间 严 内。 帮助 00 
3 EL 3 
9 wey LocAL MAcHrmE 
9 er usERs 
四 国 yer Cupar comrr6 
村 | »| 


我 的 电脑 


图 6-27 “注册 表 编 辑 器 ”窗口 


Parameters 注册 表 项 ,在 该 项 中 新 建 一 个 名 为 defaultTTL 的 DWORD 值 , 并 将 该 值 修 改 


为 十 进 制 的 255, 如 图 6-28 所 示 ， 
BEETET ojx| 
文件 于) 编辑 下 ) 查看 WV) 收 莘 普 夫 ) 帮助 0f) 
四 Teisrv [于 EE3 
入 Topip a] Mi) 
Linkaee DeadoWDetectDefanlt 0x00000001 (1) 
3 Parameters [defuul TT OxO00000E€ (255) 
9 Mapters BDhepD omain home 
a nsRe redhdepten [eb] DhepHaneServer 192.168.1.1 
相国 Inter 国 peuin 
全 外 ee 一 0x00000000 (0) 
Pe ss Ox00000000 (0) 
村 | 下 mm 


苇 的 电脑 WIEY_LOCAL_MACHINE\SYSTEN\CurrentControlSet\Services\Tcpip\Par eneters 


图 6-28 创建 defaultTTL 的 DWORD 值 


修改 务 百 服 务 
器 的 TTL 值 是 否 为 : 


新 启动 ， 
到 6-29 所 示 


新 启动 服务 器 之 后 使 用 Ping 命令 测试 服务 


rator>ping 192 
Pinging 19 -1-3 wi 2 hy of data: 
Reply from 


Reply from 
Reply from 


Reply from 


round trip tin 
Bms 。 Maximum 


and Settings\Adnin 


图 6-29 测试 TTL 值 
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2. 查看 FTP 口令 是 否 被 暴力 破解 0 
FTP 口令 对 于 服务 器 的 管理 而 言 是 非常 重要 的 ,破解 FTP 口令 最 常用 的 方法 就 是 

暴力 破解 ,所 以 系统 管理 员 要 经 常 更 换 系统 密码 。 
如 果 想 要 查看 FTP 口令 是 否 被 暴力 破解 ,可 以 在 “控制 面板 ”窗口 中 单 击 “ 管 理工 具 ” 图 

标 , 在 “管理 工具 ”窗口 中 双击 “计算 机 管理 ”图 标 ,打开 “计算 机 管理 ”窗口 ,如 图 6-30 所 示 。 


| 
局 文件 四 拱 作 和 查看 WJ 窗口 四 帮助 |=1e1> 


“|| 四 | 包罗 | 多 


图 6-30 “计算 机 管理 ”窗口 


在 “计算 机 管理 "窗口 中 单 击 “ 事 件 查看 器 "一 “ 系 统 ”, 如 果 在 系统 日 志 中 发 现 大 量 时 
间 相 同 或 非常 接近 、ID 值 为 100 的 系统 警告 信息 ,而 且 这 些 警 告 信 息 的 来 源 标记 为 
MSFTPSVC ,然后 再 查看 该 信息 的 详细 内 容 . 如 有 类 似 “ 由 于 以 下 错误 ,服务 器 无 法 登录 
到 Windows NT 账号 "xxx’”: 登录 失败 : 未 知 的 用 户 名 或 错误 密码 .的 信息 ,就 可 以 断定 
有 人 曾经 暴力 破解 FTP 口令 ,如 图 6-31 所 示 。 


cls 
局 文件 四 执 作 W) 查看 WD 窗口 虽 帮助 吕 | =lelz 
个 了 | 外因 | 团 罩 图 | 急 


瑞生 理 
由 他 服务 和 应 用 程 订 
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198 发 现 有 人 暴力 破解 FTP 口令 ,管理 员 要 做 的 第 一 件 事 就 是 修改 口令 ,第 二 件 要 做 的 
事 就 是 查找 攻击 来 源 。 
管理 员 可 以 通过 查看 FTP 站 点 的 日 志 来 查找 攻击 来 源 。FTP 站 点 的 日 志 存 放 在 C: 
\WINDOWS\system32\LogFiles\MSFTPSVC1\ 中 ,根据 暴力 破解 的 时 间 查 看 日 志 , 可 
以 发 现 如 下 格式 的 文本 : 
2006-10-16 11: 29: 36 192. 168. 1. 2 administrator MSFTPSVC1 SGNBG 192. 168. 1.3 21 [18]USER 
administrator - 3310000FTP---- 
2006-10-16 11: 29: 36 192.168.1.2 - MSFTPSVC1 SGNBG 192.168.1.3 21 [18]PRASS - - 530 1326 0 0 
外 = === 


其 中 ,administrator 为 受 攻击 的 用 户 名 ,192. 168. 1. 2 为 攻击 源 的 IP 地 址 ,PASS - - 530 
1326 0 0 0 FTP - - - -说 明 登 录 没 有 成 功 。 


6.4 设置 相对 安全 的 Windows Server 2003 系统 


当今 时 代 是 Internet 的 时 代 , 在 Internet 上 发 布 自己 的 站 点 对 外 提供 服务 已 经 不 是 
一 件 难事 ,但 保证 服务 器 安全 却 是 网 络 管理 员 最 重要 的 职责 之 一 。 网 络 管理 员 应 设置 相 
对 安全 的 操作 系统 ,用 于 防御 一 般 性 的 黑客 攻击 。 

1. 硬件 环境 

(1) CPU: 奔腾 2.0GHz。 

(2) 内 存 : DDR 256Mbps。 

(3) 光驱 : 52X CD-ROM。 

(4) 硬盘: 80Gbps。 

(5) 网 卡 : 100Mbps。 

2. 软件 环境 

(1) 系统 软件 : Windows Server 2003 中 文 版 。 

(2) 应 用 软件 : Serv-U 一 一 用 于 设置 FTP; 

SQL Server 用 于 建立 数据 库 ; 

Norton AntiVirus 杀毒 软件 。 
(3) 工具 软件 : WinRAR 一 一 用 于 压缩 /解压 缩 软 件 ; 

Ghost 用 于 进行 操作 系统 的 备份 。 

其 中 应 用 软件 和 工具 软件 最 好 使 用 最 高 版 本 。 

3. 提供 服务 

(1) DNS 服务 : 域名 解析 。 

(2) FTP 服务 : 文件 传输 。 

(3) WWW 服务 : 网 站 浏览 。 

4. 实施 步骤 

(1) 安装 操作 系统 

操作 系统 安装 是 网 络 管理 员 的 第 一 步 . 应 根据 系统 所 提供 的 服务 并 使 用 NTFS 格式 


第 6 章 网 络 安全 工具 的 使 用 


化 分 区 将 硬盘 分 为 3 个 区 , 即 C.D 和 王 , 如 图 6-32 所 示 。 


图 6-32 ”硬盘 分 区 


C 盘 为 15Gbps, 用 于 存放 系统 文件 。 
D 盘 为 50Gbps, 用 于 存放 Web 站 点 文件 .FTP 站 点 文件 及 数据 库 文件 。 
E 盘 为 剩余 硬盘 空间 ,用 于 存放 服务 器 的 镜像 文件 .各 种 软件 的 安装 文件 、 备 份 文 件 
及 各 种 日 志文 件 。 
装 Ey 


杀毒 软件 是 所 有 计算 机 必须 装 的 ,包括 服务 器 在 内 。 杀 毒 软件 不 但 可 以 为 服务 器 提 
供 最 基本 的 防护 ,而 且 还 可 以 防止 黑客 上 传 木马 程序 。 因 为 杀毒 软件 对 计算 机 是 实时 检 
测 的 , 当 木 马 程 序 准 备 运行 时 ,杀毒 软件 会 将 其 杀 掉 

(3) 安装 应 用 软件 

在 安装 其 他 应 用 软件 时 可 以 使 用 默认 安装 模式 ,但 在 安装 SQL Server 时 要 注意 以 下 
两 点 : 

@ 不 要 用 sa 作为 数据 库 的 默认 用 户 名 .用 户 名 需要 进行 修改 ; 

四 安装 完毕 ,在 建立 数据 库 时 要 将 数据 库 的 存放 路 径 进行 修改 ,如 图 6-33 所 示 。 

(4) 安装 补丁 或 升级 

在 没有 安装 杀毒 软件 之 前 尽量 不 要 上 网 在 线 更 新 补丁 ,如 有 条 件 可 以 通过 其 他 计算 
机 下 载 补丁 数据 包 , 然 后 再 进行 更 新 。 现 在 Windows Server 2003 中 文 版 已 经 有 SP1 补 
丁 ,SQL Server 已 经 有 SP3 补丁 。 

补丁 包 安 装 完毕 再 上 网 更 新 杀毒 软件 的 病毒 库 , 病 毒 库 一 定 要 更 新 到 最 新 为 止 ; 最 
后 到 微软 网 站 察看 是 否 有 最 近 的 更 新 ,直到 IE 浏览 器 显示 “安装 更 新 程序 (0)。” 为 止 , 微 
软 系统 更 新 页 面 如 图 6-34 所 示 。 

(5) 禁用 Guest 账号 

Guest 账户 即 来 宾 账 户 ,该 账户 可 以 访问 计算 机 ,但 会 受到 限制 。 而 且 Guest 用 户 也 
会 被 黑客 利用 ,所 以 禁用 或 删除 Guest 账户 是 最 好 的 办 法 。 
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到 
常规 。 数据 文件 | 事务 日 志 | 


图 6-33 ”修改 数据 库 路 径 
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回民 -~- 问 - 辐 辐 从 | 站 扫 索 祝 收 Vk 天 如 | -多 避 及 区 从 加 
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Windows Update 


Windows 家 族 | Windows Marketplace | Office 家 凤 | Microsoft Update 
- 


Windows Update 主页 快速 于 果 


安装 更 新 程序 “0) 复查 并 安装 更 新 程序 


选项 区 更 新 程序 下 载 大 小 总 计 ): 0 了 


按照 您 的 连接 速度 估计 的 时 间 : 0 分 钟 
复查 更 新 历史 


Ee 高 优先 级 更 新 程序 

更 改 设置 设 有 适用 于 悠 的 计算 机 的 高 忧 先 最 更 新 程序 。 要 查找 可 选 的 更 新 程序 ， 请 返回 主页 , 航 后 单 测 “ 自 定义 ”。 
常见 问题 

获得 帮助 和 支持 
使 用 管理 员 选 项 


indows Update 隐秘 声明 
@2006 Microsoft Corporation 版 权 所 有 - 


图 6-34 微软 系统 更 新 页 面 
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(6) 更 改 超级 用 户 名 并 设置 密码 

几乎 所 有 的 黑客 都 知道 Windows Server 2003 的 超级 用 户 是 Administrator, 只 要 知 
道 了 超级 用 户 的 密码 便 可 以 畅通 无 阻 了 ,所 以 管理 员 不 但 要 为 超级 用 户 设置 一 个 复杂 密 
码 , 而 且 要 更 改 超级 用 户 的 用 户 名 。 如 果 有 必要 可 以 再 建立 一 个 名 为 Administrator 的 陷 
阱 用 户 , 并 且 使 用 复杂 的 字符 串 作 为 密码 ,然后 让 该 用 户 不 具有 任何 权限 ,这 样 就 算 黑 客 费 
尽 周折 破解 了 这 个 用 户 的 密码 ,也 不 能 对 服务 器 进行 攻击 。 在 图 6-35 中 ,Administrator 为 
陷阱 用 户 ,而 真正 的 超级 用 户 名 为 sgnrn。 
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由 世 可 移动 存储 
珊 杀 砍 片 整理 程序 
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管理 
由 吕 服务 和 应 用 程序 


图 6-35 设置 超级 用 户 


(7) 设置 用 户 访问 权限 到 
有 些 文件 不 是 所 有 用 户 都 需要 访问 的 ,即使 
需要 访问 也 不 一 定 需 要 所 有 的 权限 ,所 以 设置 用 
户 的 访问 权限 只 有 一 个 原则 ,就 是 只 开放 用 户 所 
需要 的 权限 ,其 他 权限 一 律 关 闭 。 在 设置 用 户 权 
限时 ,首先 将 所 有 磁盘 设置 为 只 允许 超级 用 户 访 
间 , 并 开放 所 有 权限 ,其 他 用 户 均 删 除 。 由 于 D 
盘 需 要 存放 Web 站 点 文件 .FTP 站 点 文件 及 数 。， Pe 守 半 于 四 
据 库 文件 ,应 该 允许 其 他 用 户 浏览 ,但 并 不 要 求 | 各 ss 
其 具有 写 或 更 改 的 权限 ,所 以 可 以 设置 Everyone | 旨 XHNR 上 a 
用 户 对 D 盘 具 有 * 读 取 和 运行 "“ 列 出 文件 夹 目 oem 
录 ” 和 * 读 取 ” 权 限 ,如 图 6-36 所 示 。 笠 别 权限 或 高 领 设置 ， 请 单 击 “高 e"。 高 级 o | 
用 户 访问 权限 的 设置 可 以 有 效 地 抑制 黑客 
入 侵 ,如 果 服 务 器 还 需要 设置 其 他 特殊 用 户 或 权 


四 
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限 ,可 以 另行 设置 。 图 6-36 设置 用 户 访问 权限 
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202 (8) 禁用 不 使 用 的 服务 
在 进行 服务 器 配置 的 时 候 , 有 一 些 服务 是 没有 必要 的 ,在 特定 的 情况 下 这 些 服务 有 可 
能 会 变 成 黑客 可 利用 的 工具 。“ 服 务 ” 控 制 台 可 以 让 用 户 关闭 不 需要 的 服务 。 在 “控制 面 
板 ” 中 双击 “管理 工具 ”图 标 打开 “管理 工具 ”窗口 ,在 “管理 工具 ”窗口 中 双击 “服务 "图标 打 
开 “ 服 务 ”窗口 ,该 窗口 显示 了 服务 器 所 运行 的 所 有 服务 ,如 图 6-37 所 示 。 
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图 6-37 “服务 ”窗口 


以 下 是 建议 禁用 的 服务 : 

Computer Browser: 维护 网 络 计 算 机 更 新 ,禁用 。 

Distributed File System: 局 域 网 管理 共享 文件 .不 需要 可 禁用 。 

Distributed Link Tracking Client: 用 于 局 域 网 更 新 连接 信息 ,不 需要 可 禁用 。 

Error Reporting Service: 发 送 错误 报告 .不 需要 可 禁用 。 

Microsoft Search: 提供 快速 的 单词 搜索 ,不 需要 可 禁用 。 

NT LM Security Support Provider: Telnet 服务 所 使 用 的 ,不 需要 可 禁用 。 

Print Spooler: 打印 服务 .如果 没 有 打印 机 可 禁用 。 

Remote Registry: 远程 修改 注册 表 .不 需要 可 禁用 。 

Remote Desktop Help Session Manager: 远程 协助 .不 需要 可 禁用 。 

(9) 设置 IIS 服务 

不 使 用 默认 的 Web 站 点 建立 Web 服务 ,可 以 在 IIS 中 重新 建立 一 个 Web 站 点 ,并 将 
默认 的 Web 站 点 删除 。 

删除 IIS 默认 创建 的 Inetpub 目录 ,因为 该 目录 具有 安全 隐患 。 

(10) 修改 日 志文 件 目录 

尽量 修改 所 有 日 志文 件 的 默认 目录 ,以 防止 黑客 恶意 删除 日 志文 件 , 另 外 有 些 日 志文 
件 可 以 在 被 攻击 以 后 用 来 分 析 攻击 源 或 攻击 手段 。 
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(11) 设置 FTP 服务 

FTP 服务 可 以 使 用 IIS 中 所 提供 的 FTP 功能 ,也 可 以 使 用 Serv-U ,但 是 要 使 用 最 新 
版 本 ,因为 低 版 本 的 Serv-U 软件 有 漏洞 ,最 新 版 本 会 好 一 些 。 

(12) 系统 备份 

在 C 盘 制 作 一 个 GHOST 备份 .并 将 镜像 文件 存放 在 下 盘 中 ,以 备 将 来 系统 崩溃 时 
可 以 迅速 恢复 系统 ,注意 ,在 恢复 系统 之 前 ,要 将 日 志文 件 提取 出 来 ,用 来 分 析 系 统 骨 溃 
原因 。 

(13) 其 他 备份 

除了 系统 备份 以 外 ,还 要 将 所 有 的 应 用 软件 和 驱动 程序 进行 备份 ,这 些 备份 均 存放 在 
EE 稚 下 ,以 备 不 时 之 需 。 

5. 总 结 

在 系统 设置 过 程 中 ,每 修改 一 次 设置 就 需要 进行 一 次 系统 测试 ,测试 内 容 为 服务 器 对 
外 提供 的 全 部 服务 。 如 果 所 有 设置 都 完毕 再 进行 系统 测试 ,假设 有 些 服 务 不 能 够 成 功 访 
问 ,将 不 能 确定 是 哪些 设置 导致 服务 访问 错误 。 


6.5 本 竟 小 结 


本 章 以 案例 的 形式 对 第 5 章 所 讲 的 理论 知识 进行 了 实践 性 教学 环节 的 训练 。 通 过 学 
习 , 人 掌握 了 服务 器 操作 系统 防火墙 及 防 病毒 等 软件 的 安装 .配置 .使 用 .升级 的 方法 与 技 
巧 ; 学 会 了 通过 对 相关 软件 的 设置 的 修改 ,加 强 网 络 的 安全 性 ; 了 解 了 黑客 进攻 的 实际 
过 程 ,希望 读者 能 在 此 基础 上 举一反三 、 触 类 旁 通 ,能 够 使 用 更 多 的 软 、 硬 件 产 品 , 来 完成 
增强 计算 机 网 络 安全 的 任务 。 

通过 本 章 学 习 可 以 看 出 黑客 攻击 并 不 是 很 难 , 只 是 由 于 管理 员 的 下 忽 ; 防御 也 比较 
容易 ,只 要 管理 员 能 够 细心 使 用 系统 。 所 以 作为 一 名 管理 员 第 一 要 细心 ,第 二 要 提高 安全 
意识 。 


6.6 本 竟 习 题 


1. 安装 瑞星 网 络 版 的 杀毒 软件 ,并 进行 服务 器 端 .客户 端的 相关 设置 。 

2. 在 一 台 计算 机 上 安装 天 网 防火 墙 , 并 进行 相关 设置 。 

3. 在 局 域 网 上 ,以 X-Scan 软件 为 工具 登录 其 他 的 计算 机 ,并 在 上 面 建 一 个 名 为 123 
的 文件 夹 。 
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基于 SNMP 协议 的 管理 


本 章 内 容 : 

本 章 主要 介绍 简单 网 络 管理 协议 SNMP。SNMP 是 一 个 网 络 管理 的 标准 ,许多 网 
管 系统 都 是 基于 SNMP 建立 的 ,一 般 用 于 比较 复杂 的 网 络 环境 。 与 网 络 操作 系统 对 网 
络 进行 管理 相 比 ,SNMP 更 关注 网 络 中 的 通信 设备 和 通信 层面 的 状况 。 

本 章 重 点 : 

G@ 掌握 网 络 管理 的 基本 概念 。 

回 理解 管理 信息 库 的 基本 知识 和 SNMP 的 协议 单元 格式 及 操作 。 

图 了 解 远程 网 络 监控 的 知识 。 

如 果 学 时 较 少 ,可 只 学 习 7.1 节 和 第 8 章 , 有 关 SNMP 的 内 容 可 不 进行 学 习 。 


计算 机 网 络 最 初 发 展 时 ,网 络 设备 的 数目 很 少 ,网 络 管理 员 只 需要 Ping 每 台 计 算 机 ， 
并 通过 自动 返回 的 信息 就 可 以 判断 网 络 是 否 出 了 故障 。 当 计算 机 网 络 向 全 球 草 延 ,并 最 
终 形成 全 球 化 的 Internet 时 ,有 成 千 上 百 家 网 络 设备 厂商 生产 出 几 万 种 不 同 的 网 络 设备 ， 
计算 机 网 络 的 管理 成 了 巨大 的 难题 ,如 何 对 网 络 进行 有 效 的 管理 便 成 为 本 章 研 究 的 问题 。 


7.1 网 络 管理 的 概念 


711 网 络 管理 的 内 容 


根据 国际 标准 化 组 织 (ISO) 的 定义 ,网 络 管理 是 指 规划 ,监督 、 控 制 网 络 资源 的 使 用 
和 网 络 的 各 种 活动 ,使 网 络 的 性 能 达到 最 优 。 

1. 网 络 管理 的 功能 

根据 ISO 定义 的 网 络 管理 有 5 大 功能 : 配置 管理 故障 管理 .性 能 管理 . 计 费 管理 和 
安全 管理 。 

(1) 配置 管理 。 配 置 管理 就 是 定义 .收集 ,监控 和 管理 系统 的 配置 参数 ,以 使 网 络 性 
能 达到 最 优 。 在 一 个 实际 的 网 络 系统 中 网 络 设备 往往 是 由 多 个 生产 厂商 提供 的 ,为 了 使 
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设备 之 间 可 以 正确 有 效 地 通信 ,必须 对 这 些 设备 进行 参数 的 配置 当 网 络 系统 随 着 工作 
需要 而 增 减 设备 时 ,要 对 网 络 的 结构 进行 配置 调整 ; 除 此 之 外 有 些 设备 (比如 防火 墙 、 路 
由 器 等 ) 为 了 满足 工作 需要 ,也 要 进行 配置 。 配 置 管理 根据 获取 手段 大 致 可 以 分 成 3 类 : 
第 一 类 是 根据 网 络 管理 协议 标准 的 管理 信息 库 中 定义 的 配置 信息 进行 配置 ; 第 二 类 虽然 
不 在 网 络 管理 协议 标准 中 定义 ,但 对 设备 运行 比较 重要 的 配置 信息 也 要 进行 配置 ; 第 三 
类 就 是 用 于 管理 的 一 些 辅助 信息 ,包括 自动 备份 及 相关 技术 、 配 置 一 致 性 检查 和 用 户 操作 
记录 等 功能 。 

(2) 故障 管理 。 故 障 管理 是 网 络 管理 中 最 基本 的 功能 ,通过 采集 、 分 析 网 络 对 象 的 性 
能 数据 和 监测 网 络 对 象 的 性 能 ,并 对 网 络 线路 的 质量 进行 分 析 , 最 终 找 出 故障 的 位 置 并 进 
行 恢复 的 管理 操作 。 其 目标 是 自动 监测 .记录 网 络 故障 并 通知 网 络 管理 员 , 以 便 网 络 正 
确 \ 有 效 地 运行 。 一 个 网 络 系统 由 很 多 电气 设备 组 成 ,这 些 设备 由 于 灰尘 静电、 老化 或 人 
为 的 错误 操作 等 问题 ,都 有 可 能 出 现 各 种 各 样 的 故障 ,影响 网 络 的 正常 运行 ,这 就 需要 网 
络 故障 管理 系统 。 在 实际 的 应 用 中 ,网络 故 障 管理 包括 检测 故障 .判断 故障 、 隔 离 故障 、 修 
复 故障 和 记录 故障 等 步骤 。 

(3) 性 能 管理 。 性 能 管理 主要 考察 网 络 运行 的 好 坏 ,通过 收集 ,监视 和 统计 网 络 运行 
的 参数 数据 ,例如 ,网 络 的 吞吐 率 、 用 户 的 响应 时 间 和 线路 的 利用 率 等 ,评价 网 络 资源 的 运 
行 状况 和 通信 效率 等 系统 性 能 ,分 析 各 系统 之 间 的 通信 操作 的 趋势 ,平衡 系统 之 间 的 负 
载 。 性 能 管理 一 般 包括 : 收集 网 络 管理 者 感 兴趣 的 性 能 参数 ; 分 析 相 应 统计 数据 ,以 判 
断 网 络 是 否 处 于 正常 水 平 ; 为 每 个 重要 的 变量 确定 一 个 适合 的 性 能 阅 值 ,如 果 超 过 该 阅 
值 就 意味 着 网 络 出 现 故 障 。 

(4) 计 费 管理 。 计 费 管 理 负责 记录 网 络 资源 的 使 用 情况 和 使 用 这 些 资源 的 代价 。 网 
络 中 的 许多 资源 都 是 有 偿 使 用 的 , 计 费 管理 系统 就 是 为 了 能 够 统计 各 个 用 户 使 用 资源 的 
情况 ,计算 用 户 应 付 的 费用 ,控制 用 户 占 用 和 使 用 过 多 的 网 络 资 源 而 设计 的 。 计 费 管 理 的 
目标 是 衡量 网 络 的 利用 率 , 以 便 一 个 或 一 组 用 户 可 以 按 规则 利用 网 络 资源 ,这 样 的 规则 使 
网 络 故障 降低 到 最 小 (因为 网 络 资源 可 以 根据 其 能 力 的 大 小 而 合理 地 分 配 ), 也 可 使 所 有 
用 户 对 网 络 的 访问 更 加 公平 。 为 了 实现 合理 的 计 费 , 计 费 管理 必须 和 性 能 管理 相 结合 。 

(5) 安全 管理 。 网 络 系统 的 安全 性 是 非常 脆弱 的 ,为 了 保障 其 安全 性 ,需要 用 户 认 
证 ,访问 控制 .数据 加 密 和 完整 性 机 制 等 技术 结合 使 用 ,来 控制 用 户 对 网 络 资源 的 访问 ,以 
保证 网 络 不 被 有 意识 的 或 无 意识 的 侵害 ,并 保证 重要 信息 不 被 未 授权 的 用 户 访问 。 网 络 
安全 管理 主要 包括 : 授权 管理 .访问 控制 管理 .安全 检查 跟踪 和 事件 处 理 以 及 密 钥 管理 。 

2. 网 络 管理 标准 

网 络 设备 的 异 构 性 导致 网 络 管理 标准 化 的 需求 。 在 网 络 构建 过 程 中 ,大 量 不 同型 号 、 
不 同 生产 厂家 的 设备 要 混合 使 用 ,不 同类 型 的 网 络 之 间 要 互相 连通 ,这 就 需要 网 络 管理 系 
统 提供 一 个 统一 的 全面 的 接口 ,并 达到 以 下 目标 : 

。 具有 统一 的 协议 和 服务 ,使 管理 信息 可 以 保持 一 致 性 。 

。 对 网 络 性 能 、 安 全、 配置 . 计 费 和 故障 等 方面 有 标准 的 定义 。 

。 允许 增加 新 的 应 用 与 服务 。 

。 减少 不 同系 统 之 间 交 换 信息 的 费用 。 
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1979 年 ,ISO 开始 对 网 络 管理 的 标准 化 进行 研究 ,随后 国际 电报 电话 咨询 委员 会 也 
参与 了 这 项 研究 。1989 年 ISO 颁布 了 ISO DIS7498-4(X. 700) 文 件 , 其 定义 了 网 络 管理 
的 基本 概念 和 总 体 框架 。1991 年 ,ISO 又 颁布 了 公共 管理 信息 服务 CMIS(ISO 9595) 和 
公共 管理 信息 协议 (Common Management Information Protocal, CMIP) (ISO 9596 ) 。 
CMIP 是 在 TCP/IP 的 SNMP 的 基础 之 上 设计 的 。CMIP 采用 了 面向 对 象 的 技术 ,不 仅 
有 数值 属性 ,而 且 有 行为 属性 ,是 一 种 真正 的 面向 对 象 的 技术 。 但 是 相对 于 SNMP 而 言 ， 
CMIP 的 实现 需要 大 量 资源 ,因此 CMIP 没 能 流行 起 来 。1992 年 ISO 公布 了 系统 管理 功 
能 SMFs(ISO 10164) 和 管理 信息 结构 SMI(ISO 10165) ,这 些 文件 共同 组 成 了 ISO 的 网 
络 管理 标准 。 虽 然 ISO 制定 的 标准 非常 强大 ,但 也 非常 复杂 ,因此 目前 有 关 ISO 管理 的 
实现 非常 缓慢 。 

随 着 因特网 的 迅速 发 展 , 有 关 TCP/IP 网 络 管理 的 研究 活动 十 分 活跃 ,相关 的 网 络 管 
理 标准 也 被 广泛 应 用 ,成 为 实事 上 的 标准 。TCP/IP 网 络 管理 标准 称 为 简单 网 络 管理 协议 
(SNMP) ,其 公布 在 1990 年 和 1991 年 的 几 个 RFC 文件 中 , 即 RFC 1155 (SMD、RFC 1157 
(SNMP) .RFC 1212(MIB 定义 )、RFC 1213(MIB-2 规范 ) 。 由 于 SNMPv1l 过 于 简单 , 造 
成 系统 不 够 安全 和 管理 上 的 不 完善 。 几 年 后 产生 了 简单 网 络 管理 协议 第 二 版 
(SNMPv2) ,其 定义 在 RFC 1902 一 REFC 1908 文档 中 。SNMPv2 组 合 了 RMON 等 内 容 ， 
使 得 SNMP 在 安全 和 性 能 方面 都 有 了 提高 。 

除了 上 述 两 个 网 络 管理 标准 外 ,还 有 IEEE 定义 了 局 域 网 (LAN/MAN) 的 管理 标准 
IEEE 802. 1b, 以 及 ITU-T 为 了 适应 电信 网 络 管理 的 需要 在 1989 年 定义 的 电信 网 络 管理 
标准 TMN( 即 M. 30 建议 蓝皮书 ) 等 。 


712 网 络 管理 的 体系 结构 


1. 网 络 管理 体系 结构 的 基本 概念 

对 网 络 管理 的 能 力 进行 抽象 ,人 们 提出 了 网 络 管理 体系 结构 的 概念 。 用 于 定义 网 络 
管理 系统 的 结构 及 系统 成 员 间 相互 关系 的 一 套 规则 就 是 网 络 管理 体系 结构 。 根 据 网 络 管 
理 体 系 结构 的 定义 可 知 ,网 络 管理 体系 结构 需要 研究 单个 网 络 管理 系统 内 部 的 结构 及 其 
成 员 之 间 的 关系 ,以 及 研究 多 个 网 络 管理 系统 如 何 相互 兼容 并 连接 构成 可 以 管理 复杂 网 
络 的 管理 系统 。 在 网 络 管理 体系 结构 中 ,网 络 管理 被 抽象 成 一 种 独特 的 网 络 应 用 。 

网 络 管理 体系 结构 是 工作 在 协议 的 上 层 ., 这 是 网 络 管理 应 用 工作 的 基础 结构 。 网 络 
管理 体系 结构 的 特点 是 : 

。 管理 功能 分 为 管理 站 (Manager) 和 代理 (Agent) 两 部 分 。 

。 为 存储 管理 信息 提供 关系 数据 库 或 面向 对 象 的 数据 库 支 持 。 

。 提供 用 户 接口 和 用 户 视图 .I 和 管理 信息 浏览 器 等 。 

。 提供 基本 的 管理 操作 ,如 获取 管理 信息 、 设 置 参数 以 及 错误 警告 等 操作 。 

网 络 管理 体系 结构 示意 图 如 图 7-1 所 示 。 

2. TCP/IP 网 络 管理 体系 结构 

早 在 1987 年 SNMP 就 被 制订 出 来 ,而 且 不 断 有 新 的 协议 推出 ,但 是 SNMP 凭借 其 
结构 简单 、 使 用 方便 , 且 与 TCP/IP 协议 联系 紧密 的 特点 一 直到 今天 仍然 被 广泛 地 使 用 。 
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7-1 网 络 管理 体系 结构 示意 图 


SNMP 管理 体系 结构 由 管理 者 (Manager)、 代 理 (Agent) 和 管理 信息 库 (MIB)3 部 分 
组 成 。 

管理 者 是 管理 指令 的 发 出 者 ,这 些 指令 包括 查询 和 设置 参数 等 管理 操作 。 管 理 者 通 
过 各 设备 的 管理 代理 对 网 络 内 的 各 种 设备 、 设 施 和 资源 实施 监控 。 

代理 负责 管理 指令 的 执行 ,并 根据 结果 返回 给 管理 者 一 些 信息 。 代 理 有 3 个 基本 功能 。 

。 从 MIB 中 读 取 各 种 变量 值 。 

。 根据 管理 者 的 要 求 修改 MIB 中 的 各 种 变量 值 。 

。 当代 理 设备 出 现 问题 时 ,以 通知 的 形式 向 管理 者 报告 被 管 对 象 发 生 的 一 些 重要 

事件 。 

管理 者 和 代理 之 间 主 要 以 请 求 / 应 答 方式 工作 。 管 理 者 向 代理 发 出 请 求 指令 ,获取 或 
者 设置 网 络 元 素 的 参数 。 代 理 向 管理 员 返 回应 答 响应 ,报告 请 求 的 执行 结果 。 为 了 使 一 
个 管理 员 可 以 管理 多 个 代理 , 常 采用 轮 询 的 方式 。 

MIB 是 被 管 对 象 结构 化 组 织 的 一 种 抽象 。MIB 是 一 个 概念 上 的 数据 库 , 由 管理 对 象 
组 成 ,各 个 代理 管理 MIB 中 属于 本 地 的 管理 对 象 , 各 管理 代理 控制 的 管理 对 象 共同 构成 
全 网 的 管理 信息 库 。 

SNMP 是 一 个 异步 的 请 求 / 响 应 协议 ,其 实体 不 需要 在 发 出 请 求 后 等 待 响应 的 到 来 。 
SNMP 中 包括 了 5 种 基本 的 操作 : 

。 get-request 操作 用 来 查询 指定 的 网 络 管理 对 象 的 信息 。 

。 get-next-request 操作 用 来 查询 指定 的 网 络 管理 对 象 的 下 一 个 对 象 的 信息 ,该 操 

作 还 可 以 遍历 MIB 树 并 判断 哪些 对 象 存在 。 

。 set-request 操作 用 来 修改 或 创建 管理 对 象 及 其 信息 。 

。 get-response 操作 是 由 代理 方 发 出 ,所 以 它 不 是 管理 操作 , 它 的 作用 是 返回 由 get、 

get-next 或 set 操作 发 出 的 查询 或 设置 操作 的 结果 。 

。 trap 操作 也 是 由 代理 发 出 的 ,可 以 查找 特定 的 事件 并 检测 ,并 向 管理 者 通报 重要 

事件 的 发 生 。 
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SNMP 在 计算 机 网 络 系统 中 应 用 非常 广泛 ,已 经 成 为 事实 上 的 计算 机 网 络 管理 的 标 
准 。 但 是 SNMP 有 许多 自身 难以 克服 的 缺点 。 
SNMP 协议 的 最 大 问题 是 太 过 简单 而 无 法 处 理 各 种 细节 信息 ,无 法 满足 当今 日 益 
膨胀 的 网 络 的 发 展 需要 ,这 也 是 SNMPv2 以 及 SNMPv3 出 现 的 原因 。 
SNMP 不 适合 大 型 网 络 管理 ,因为 SNMP 是 基于 轮 询 机 制 的 ,这 种 方式 有 严重 的 
性 能 问题 ,比如 不 适合 查询 大 量 的 数据 。 
SNMP 协议 存在 一 些 安全 管理 漏洞 .网 络 入侵 者 很 容易 获取 通过 网 络 传递 的 各 种 
信息 ,甚至 可 以 关闭 某 些 终端 。 
。 SNMP 的 trap 是 无 法 确认 的 ,不 能 确保 管理 者 是 否 接收 到 了 非常 严重 的 警告 信息 。 
。 SNMP 不 支持 如 创建 .删除 等 类 型 的 操作 ,要 完成 这 些 操作 ,必须 用 set 命令 间接 
地 触发 。 
。 SNMP 的 MIB 模型 不 适合 比较 复杂 的 查询 ,因此 没有 一 个 标准 或 建议 定义 了 
SNMP 网 络 管理 体系 结构 。 另 外 ,由 于 定义 了 太 多 的 管理 对 象 类 , 当 管理 者 需要 
查询 或 修改 时 ,他 必须 明白 这 些 管理 对 象 类 的 准确 含义 。 


7.2 管理 信息 库 


管理 信息 库 (Management Information Base, MIB) 是 一 个 以 层次 式 树 型 结构 为 组 织 
结构 的 管理 信息 的 集合 ,所 有 的 管理 对 象 都 分 布 在 这 个 树 型 结构 中 。MIB 被 SNMP 协议 
访问 和 使 用 。 


721 管理 信息 结构 


管理 信息 结构 (Structure of Management Information ,简称 SMI) ,为 命名 和 定义 管 
理 对 象 指定 了 一 套 规则 。 上 百 家 网 络 设备 厂商 的 产品 都 遵循 这 个 规则 ,以 使 网 络 设 备 能 
够 相互 兼容 。 

1. ASN.1 简介 

ASN. 1 是 Abstract Syntax Notation One( 抽 象 语法 符号 1) 的 简称 ,是 一 种 标准 的 对 
象 定义 语言 和 编码 规则 。 虽 然 ASN. 1 太 复 杂 、 缺 点 多 、 运 算 效 率 不 高 ,但 是 SNMP 已 经 
完全 溶 进 ASN. 1 了 ,所 以 要 想 了 解 SNMP ,就 必须 熟悉 ASN. 1。 

在 SNMP 上 应 用 的 ASN. 1 有 一 些 用 词 上 的 惯例 : 

* 固有 的 数据 类 型 一 般 都 以 大 写字 母 表示 ,比如 OCTET STRING 。 

。 用 户 自 定义 的 数据 类 型 以 大 写字 母 开头 ,但 至 少 有 一 个 非 大 写字 母 , 以 便 与 固有 
的 数据 类 型 区 分 开 。 
标识 符 可 以 包括 大 写字 母 、 小 写字 母 ,数字 和 下 划 线 ,但 必须 以 小 写字 母 开头 , 比 
如 internet。 
。 空格 、 回 车 符 和 Tab 键 并 不 十 分 重要 。 
。 注释 以 字符 串 “--” 开 头 ,直到 行 尾 或 下 一 个 字符 串 “--” 出 现 。 
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ASN. 1 一 共有 5 种 固有 的 基本 数据 类 型 , 表 7-1 所 示 为 在 SNMP 中 使 用 的 ASN.1 209 
的 基本 数据 类 型 和 其 说 明 。 
表 7-1 在 SNMP 中 使 用 的 ASN.1 的 基本 数据 类 型 及 其 说 明 


基本 数据 类 型 说 明 
INTEGER 任意 长 度 的 整 型 数 
BIT STRING 一 个 0 或 多 位 比特 的 串 
OCTET STRING 一 个 0 或 多 位 无 符号 字 节 串 
NULL 位 置 符 ,表示 为 空 
OBJECT IDENTIFIER 对 象 标识 符 类 型 


理论 上 没有 规定 INTEGER 类 型 的 长 度 范围 ,但 是 其 他 的 SNMP 规则 限制 了 它 的 范 
围 , 因 为 实际 应 用 中 不 可 能 出 现 无 限 大 这 种 情况 。 下 面 列 举 一 个 使 用 INTEGER 类 型 的 
例子 ,用 ASN. 1 定义 了 一 个 INTEGER 类 型 的 变量 counter 并 初始 化 为 1。 

示例 如 下 : 


counter INTEGER: :一 1 


有 时 也 需要 一 种 整 型 的 子 类 型 ,将 变量 的 值 限定 为 特定 的 一 些 值 或 在 一 定 的 范围 内 ， 
实际 应 用 中 这 种 情况 较 常见 。 例 如 ,定义 一 个 状态 子 类 型 Status, 其 定义 如 下 : 


Status: :一 INTEGER{up(1) ,down(2) ,unknown(3)} 


定义 好 后 ,就 可 以 应 用 这 种 子 类 型 了 。 例 如 ,接口 1(interfacel) 的 定义 。 
示例 如 下 : 


Interfacel Status: :一 1 


BIT STRING 是 比特 串 ,其 每 一 个 比特 要 不 是 0, 要 不 是 1。 与 其 相似 的 是 OCTET 
STRING( 无 符号 字 节 串 ) 类 型 ,只 不 过 这 种 类 型 中 每 一 个 字 节 的 范围 是 从 0 一 255。 上 述 
两 种 类 型 ,可 定义 串 的 长 度 和 初 值 。 

NULL 表示 空 或 是 位 置 符 。 例 如 ,在 SNMP 的 get 操作 中 的 对 象 标识 符 值 域 中 就 
是 NULL 类 型 。 

OBJECT IDENTIFIER 是 一 种 标识 管理 对 象 的 方法 ,这 些 管理 对 象 被 组 织 成 一 种 树 
的 结构 存放 ,从 树 的 “ 根 ? 开 始 到 每 一 个 管理 对 象 都 有 惟一 的 一 条 路 径 . 相 应 地 也 就 有 惟一 
一 个 标识 。 例 如 ,定义 internet 的 对 象 标识 符 。 

示例 如 下 : 

Internet OBJECT IDENTIFIER:: = {iso(1) org(3) dod(6)internet(1)} 


ASN. 1 基本 上 是 一 种 原始 的 数据 声明 语言 .除了 人 上述 5 种 基本 数据 类 型 以 外 , 它 还 
允许 用 户 自 定义 原 语 对 象 ,然后 再 把 它们 组 合成 复杂 的 构造 对 象 。 构 造 类 型 有 4 种 方法 ， 
如 表 7-2 所 示 。 
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表 7-2 构造 类 型 说 明 
类 型 标识 符 说 明 
SEQUENCE 一 个 或 多 个 基本 类 型 的 有 序 集合 
SEQUENCE OF 0 个 或 多 个 基本 类 型 有 序 集合 的 数组 
SET 一 个 或 多 个 基本 类 型 的 无 序 集合 
SET OF 0 个 或 多 个 基本 类 型 无 序 集合 的 数组 


2. ASN. 1 转换 语法 

ASN. 1 只 能 在 设计 时 写 在 纸 上 ,为 了 能 够 在 实际 的 应 用 中 也 使 用 ASN. 1 ,设计 者 又 
定义 了 ASN. 1 的 转换 语法 , 它 定 义 了 ASN. 1 类 型 的 值 如 何 转换 为 适合 于 传输 的 字 节 
序列 。 

ASN. 1 转换 语法 是 使 用 基本 编码 规则 (Basic Encoding Rules,BER ) 进 行 二 进 制 代码 
编写 的 。BER 的 编写 规则 是 : 每 一 个 传输 的 值 ,不 论 是 固有 的 ( 原 语 ), 还 是 用 户 自 定义 
(构造 ) 的 ,最 多 由 3 个 字段 组 成 : 

。 标识 符 : 包括 类 型 和 标记 ; 

。 数据 字段 的 长 度 , 以 字 节 为 单位 ; 

。 数据 字段 。 

标识 符 位 于 第 一 个 字段 , 它 标识 了 后 面 的 项 ,其 本 身 有 3 个 子 字 段 ,如 表 7-3 所 示 。 

表 7-3 标识 符 字段 
Te 人) Nomber(4.3.2.1.0 位) 

标识 符 最 高 两 位 编码 (Tag) 用 来 标识 后 面 数据 的 作用 , 它 共 有 4 种 选项 , 表 7-4 所 示 
为 其 取 值 及 含义 。 

表 7-4 ”标识 符 最 高 两 位 的 取 值 及 其 含义 


取 值 (二 进 制 表示 ) 含 竺 
00 表示 通用 的 (Universal) 
01 表示 应 用 程序 的 (Application) 
10 表示 上 下 文 相关 的 (Context specific) 
11 表示 私有 的 (Private) 


标识 符 的 下 一 位 CType) 用 来 表示 类 型 , 取 0 时 表示 是 原 语 类 型 (固有 的 ), 取 1 时 表 
示 是 构造 类 型 (用 户 自 定义 的 ,由 多 个 原 语 类 型 组 成 的 “结构 ” 体 )。 

标识 符 低 5 位 (Number) 用 来 标识 后 面 数据 的 数据 类 型 .类 型 及 其 标识 代码 如 表 7-5 
所 示 。 类 型 也 可 自 定 , 如 果 类 型 代码 在 0 一 30 范围 内 时 ,直接 使 用 即 可 .但 当 类 型 代码 超 
过 30 时 ,Number( 低 5 位 ) 被 置 为 11111( 二 进 制 全 1) ,然后 在 后 面 增加 一 到 多 个 字 节 ,这 
些 字 节 的 低 7 位 用 来 表示 数据 .高 1 位 表示 是 否 结束 , 当 高 1 位 为 1 时 表示 是 最 后 一 个 字 
节 , 其 余 的 位 均 为 0。 
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表 7-5 数据 类 型 及 其 标识 代码 


数据 类 型 标识 符 代码 数据 类 型 标识 符 代码 
INTEGER 2 OBJECT IDENTIFIER 6 
BIT STRING EE SEQUENCE and SEQUENCE OF 16 
OCTET STRING 4 SET and SET OF 下 
NULL 5 


例如 ,私有 的 复合 结构 ,类 型 代码 为 50 的 BER 编码 的 二 进 制 形式 是 11111111 
10110010; 通用 的 原 语 结构 ,标识 为 整 型 的 BER 编码 的 二 进 制 形式 是 00000010。 

数据 字段 的 长 度 位 于 标识 符 字 段 后 ,因为 标识 符 字段 是 不 定 长 的 ,所 以 数据 字段 的 长 
度 项 具体 位 于 第 几 字 节 , 还 要 具体 问题 具体 分 析 。 

数据 字段 的 长 度 项 指出 后 面 要 用 多 少 个 字 节 来 存储 数据 (注意 : 长 度 不 包括 这 个 字 
段 本 身 和 标识 符 字 段 ) 。 

当 数 据 长 度 小 于 128 时 ,用 1 个 字 节 来 表示 这 个 字段 ,其 中 最 高 位 记 为 0, 其余 低 7 位 
用 来 表示 长 度 ; 当 长 度 的 值 大 于 128 时 ,第 1 个 字 节 用 来 表示 用 几 个 字 节 来 表示 长 度 , 其 
中 最 高 位 记 为 1 ,其余 低 7 位 用 来 表示 长 度 值 用 了 几 个 字 节 。 

例如 ,要 表示 的 数据 长 度 为 15, 则 BER 编码 的 二 进 制 形式 是 00001111; 要 表示 的 数 
据 长 度 为 1000, 则 BER 编码 的 二 进 制 形式 是 10000010 00000011 11101000 ,其 中 第 一 字 
节 的 最 高 位 置 1, 并 且 低 7 位 的 值 是 2, 表 示 后 面 有 两 个 字 节 来 表示 数据 长 度 , 后 两 个 字 节 
表示 实际 的 数据 长 度 值 1000 。 

数据 字段 项 是 实际 数据 的 存储 位 置 , 它 的 编码 依赖 当前 数据 的 类 型 。 

如 果 是 INTEGER 类 型 , 则 以 二 进 制 的 补 码 方式 编码 ,小 于 128 的 正 整数 需要 用 1 个 
字 节 表示 ,小 于 32 768 的 正 整数 需要 用 2 个 字 节 表示 ,以 此 类 推 。 

如 果 是 BIT STRING 类 型 , 则 编码 内 容 不 变 . 长 度 域 表 示 需 要 用 到 的 字 节 个 数 ,并 在 
实际 的 位 串 之 前 加 一 个 字 节 表示 位 串 最 后 一 个 字 节 不 用 的 位 数 。 比 如 ,位 串 010011111 
被 编码 为 00000111 01001111 10000000 ,其 中 第 一 字 节 不 是 实际 数据 , 它 是 表示 最 后 一 个 
字 节 有 几 个 位 不 用 ,本 例 中 的 值 是 7, 也 即 表 示 最 后 一 个 字 节 中 最 高 1 位 有 效 , 其 余 均 无 
效 ; 第 二 个 字 节 中 存储 的 是 位 串 前 8 位 的 值 : 第 三 个 字 节 最 高 位 中 存放 了 位 串 的 剩余 1 位 ， 
其 余 无 效 位 均 为 0。 

如 果 是 OCTET STRING 类 型 , 则 编码 内 容 不 变 。 

如 果 是 NULL 类 型 , 则 长 度 域 为 0. 不 传 任何 数据 。 

如 果 是 OBJECT IDENTIFIER 类 型 . 则 按 MIB 树 的 编码 整数 序列 编码 ,每 一 项 均 按 
照 整 数 编码 ,例如 ,因特网 是 {1,3,6.1) ,但 是 ,第 一 个 数值 总 是 0、1 或 2, 第 二 个 数值 总 是 
小 于 40, 所 以 前 两 个 数 可 用 一 个 字 节 编码 ,因此 因特网 编码 后 的 值 是 {43.6,1)。 

BER 的 编码 规则 非常 复杂 ,如 果 没 有 实际 的 数据 ,就 无 法 判断 其 会 占有 和 多少 字 节 。 
下 面 列举 一 些 例子 加 以 说 明 。 

INTEGER 类 型 的 50 的 BER 的 二 进 制 编码 是 00000010 00000001 00110010, 其 中 第 
一 个 字 节 是 标识 符 ,代表 INTEGER 型 .第 二 个 字 节 是 长 度 .代表 数值 项 占有 一 个 字 节 。 

BIT STRING 类 型 的 “1110” 的 BER 的 二 进 制 编码 是 00000011 00000010 00000100 
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11100000, 其 中 第 一 个 字 节 是 标识 符 , 代 表 BIT STRING 类 型 ,第 二 个 字 节 是 长 度 , 代 表 
后 面 的 数值 占有 两 个 字 节 ,第 三 个 字 节 表示 位 串 的 最 后 一 个 字 节 的 后 几 位 无 效 。 

OCTET STRING 类 型 的 “ab” 的 BER 的 二 进 制 编码 是 00000100 00000010 01100001 
01100010, 其 中 第 一 个 字 节 是 标识 符 , 代 表 OCTET STRING 类 型 ,第 二 个 字 节 是 长 度 , 代 表 
实际 数据 占用 两 个 字 节 ,第 三 字 节 是 “a” 的 ASCII 码 值 .第 四 个 字 节 是 “b” 的 ASCII 码 值 。 

NULL 类 型 的 BER 的 二 进 制 编码 是 0000101 00000000, 其 中 第 一 个 字 节 表示 标识 
符 ,代表 NULL 类 型 ,长 度 为 0, 值 域 项 没有 。 

OBJECT IDENTIFIER 类 型 的 “(1. 3. 6.1)” 的 BER 的 二 进 制 编码 是 00000110 00000011 
00101000 00000110 00000001, 其 中 第 一 个 字 节 表示 标识 符 , 代 表 OBJECT IDENTIFIER 
类 型 ,长度 为 3, 代 表 实 际 数据 共 占 有 三 个 字 节 (*{1.3)” 两 个 值 共 占 一 个 字 节 ), 第 三 个 字 
节 表 示 “{1. 3)”, 第 四 个 字 节 表示 “{6)”, 第 五 个 字 节 表示 “1”。 

3. SMI 

在 实际 的 设备 中 所 有 的 管理 信息 和 对 象 都 存放 在 库 中 (MIB), 为 了 方便 人 们 的 记忆 
和 管理 ,设计 者 使 用 了 一 个 有 层次 的 树 型 结构 来 表示 这 些 管理 对 象 。SMI 对 于 MIB 来 说 
就 相当 于 模式 对 于 数据 库 。SMI 定义 了 每 一 个 对 象 看 上 去 像 什么 ”。 图 7-2 所 示 为 SMI 
定义 的 MIB 树 的 顶部 。 


| 


ccitt(0) iso(1) joint-iso-ccitt(2) 
org(3) 
dod(6) 


internet(1) 


directory(1) mgmt(2) 。 experimental(3) private(4) 


mib(1) enterprises(1) 


图 7-2 RFC 1155(SMD 定 义 的 MIB 树 的 顶部 


在 这 个 树 型 结构 中 ,internet 对 象 可 以 由 以 下 代码 标识 : {iso(1)org(3)dod(6) 
internet(1)) 或 者 简 记 为 {1. 3. 6. 1}。 

这 种 标识 方法 叫做 对 象 标识 符 (Object Identifier, OID) ,用 于 标识 一 个 管理 对 象 ,以 
及 在 MIB 中 如 何 访问 该 对 象 。 每 一 个 OID 在 整个 MIB 树 中 都 是 惟一 的 ,就 如 同 实际 生 
活 中 每 一 个 中 华人 民 共 和 国 的 公民 都 会 有 一 个 与 自己 相对 应 的 身份 证 号 ,这 个 号 码 由 省 
(或 直辖 市 等 ) 号 .市 号 .出 生年 月 、 编 号 以 及 校 验 码 组 成 .这 种 按 层次 的 组 成 方法 可 以 保证 
每 一 个 人 都 有 一 个 惟一 的 号 码 ,而 且 通 过 这 种 方法 可 以 非常 容易 地 记忆 和 查询 。 
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SMI 不 定义 MIB 对 象 , 但 其 规定 了 定义 管理 对 象 的 格式 。 一 个 对 象 定 义 通 常 包 括 
5 个 域 。 

@ OBJECT: 是 一 个 字符 串 名 , 它 叫 OBJECT DESCRIPTOR , 它 指定 对 象 类 型 ,这 
个 类 型 和 OBJECT IDENTIFIER 相对 应 。 

四 SYNTAX: 对 象 类 型 的 抽象 语法 。 它 必须 可 以 解析 到 ASN. 1 类 型 ObjectSyntax 
的 一 个 实例 上 。 

@ DEFINITION: 对 象 类 型 语义 的 文本 描述 。 实 现 中 必须 保证 对 象 的 实例 满足 这 
个 定义 ,因为 这 个 MIB 是 用 于 多 厂商 环境 中 的 ,要 照顾 到 它们 的 情况 。 对 象 在 不 同 的 机 
器 上 有 相同 的 意义 是 很 重要 的 .这 要 靠 文本 约束 。 

@ ACCESS: 取 只 读 ,、 读 写 、 只 写 或 不 能 访问 这 4 个 值 。 

@ STATUS: 强制 (mandatory)、 可 选 (optional) 或 过 时 的 (obsolete)。 

其 中 ,语法 是 根据 对 象 类 型 定义 对 象 结构 ,定义 时 使 用 ASN. 1, 但 ASN. 1 中 的 一 些 
通用 化 需要 加 以 限制 。SMI 中 使 用 3 种 语法 : 原始 类 型 .构造 类 型 和 自 定义 类 型 。 

原始 类 型 和 构造 类 型 在 7. 1 节 中 已 经 讲解 过 了 。 原 始 类 型 包括 INTEGER .OCTET 
STRING .OBJECT IDENTIFIER 和 NULL 等 。 构 造 类 型 使 用 SEQUENCE 或 SEQUENCE 
OF 建立 行 或 表 。 

SMI 允许 在 一 个 新 应 用 产品 的 范围 内 由 用 户 自 定义 类 型 ,但 这 些 类 型 必须 能 够 分 解 
为 基本 类 型 行 表 或 其 他 自 定义 类 型 。SMI 中 定义 了 用 于 SNMP 的 一 些 自 定义 类 型 ,其 
类 型 值 和 说 明 如 表 7-6 所 示 。 


表 7-6 SMI 自 定义 类 型 值 及 其 说 明 


SMI 自 定义 类 型 值 说 明 
NetworkAddress 此 类 型 代表 多 个 可 能 的 协议 族 中 的 一 个 地 址 格式 ,当前 只 有 Internet 协议 族 
i 此 类 型 代表 32 位 的 IP 地 址 ,表示 为 长 度 为 4 的 字符 串 。 在 ASN. 1 类 型 使 用 
BER 规则 进行 编码 时 ,只 能 使 用 原始 编码 形式 
此 类 型 代表 一 个 非 负 整数 , 它 只 能 增加 ,直到 最 大 值 。 当 达到 最 大 值 后 , 它 会 返回 
i 0 重新 开始 。RFC 1155 指定 此 类 型 的 最 大 值 为 2^32 一 1, 也 就 是 4 294 967 295。 
此 类 型 也 称 为 循环 计数 器 ,是 定义 对 象 时 常见 的 类 型 之 一 。 此 类 型 的 典型 应 
用 是 对 接收 或 发 送 的 数据 包 和 字 节 的 数目 计数 
和 此 类 型 代表 一 个 非 负 整 数 , 它 可 以 增加 或 减少 ,但 在 最 大 值 时 停止 。RFC 1155 
指定 此 类 型 的 最 大 值 为 2432 一 1, 也 就 是 4 294 967 295 
此 类 型 为 非 负 整数 ,用 于 记录 从 一 时 间 点 起 经 过 了 多 少 个 百 分 之 一 秒 的 时 
TimeTicks 间 。 此 类 型 是 和 计时 器 相关 的 ,是 两 个 时 间 点 的 差 值 ,所 以 定义 时 需要 在 描 
述 里 告诉 用 户 这 两 个 时 间 参 考点 
a 此 类 型 支持 对 ASN. 1 语法 进行 扩充 。 此 类 型 只 要 求 接收 方 能 够 对 数据 进行 
中 解密 ,并 没有 要 求 接收 方 一 定 要 理解 其 内 容 
DisplavStin 可 打印 的 字符 串 ,使 用 可 读 的 字符 ,是 一 种 方便 阅读 的 类 型 。 定 义 为 : 
Pe DisplayString:: =OCTET STRING 
PhysAddress 存放 接口 的 MAC 地 址 。 定 义 为 : PhysAddress:: 一 OCTET STRING 
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214 图 7-3 所 示 为 两 个 SMI 的 例子 。 第 一 个 例子 是 叫做 lostPackets 的 变量 , 它 用 于 路 由 
器 或 其 他 处 理 分 组 的 设备 。 第 二 个 例子 是 叫做 ipAddrTable 的 变量 , 它 用 于 描述 地 址 表 ， 
其 类 型 是 一 个 构造 类 型 ,: :一 符号 后 的 值 指明 它 在 MIB 树 上 的 位 置 。 


lostPackets OBJECT-TYPE 


SYNTAX Counter --use a 32-bit counter 

ACCESS read-only --the management station may not change it 
STATUS current --this variable is not obsolete (yet) 
DESCRIPTION 


"The number of packets lost since the last boot." 


::= {experimental 20} 


ipAddrTable OBJECT-TYPE 
SYNTAX 
ipAddrEntry :: = SEQUENCE! 
ipAdEntAddr 
ipAddress， 
ipAdEntIfIndex 
INTEGER， 
ipAdEntNetMask 
ipAddress， 
ipAdEntBcastAddr 
INTEGER， 
ipAdEntReasmMaxSize 
INTEGER (0..65535) 
} 
ACCESS not-accessible 
STATUS mandatory 
DESCRIPTION 
"The table of addressing kinformation relevant to this entity’s IP address. " 
:= (ip 20} 


图 7-3 ”SMI 定义 示例 


722 MB-2 功 能 组 


在 RFC 1156 文档 中 定义 了 SNMP 的 第 一 个 版 本 的 管理 信息 库 (MIB-1), 随 后 又 在 
RFC 1213 文档 中 定义 了 第 二 个 版 本 的 管理 信息 库 (MIB-2)。MIB-2 是 对 MIB-1 进行 的 
扩展 和 修改 ,现在 的 SNMP 都 是 以 MIB-2 为 基准 。 

1. MIB-2 功能 组 的 组 成 

MIB-2 功能 组 由 9 个 功能 组 组 成 。 
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@OD system 组 : 提供 运行 代理 的 设备 或 系统 的 全 部 信息 。 215 
@ interfaces 组 : 包含 关于 系统 中 网 络 接口 的 信息 。 
@ at 组 : 用 于 1IP 地 址 到 数据 链 路 地 址 的 地 址 转换 表 , 但 是 这 个 组 随 着 RFC 1213 的 
引退 而 逐渐 被 放弃 了 ,其 内 容 也 被 移 到 了 其 他 的 文档 (组 ) 中 。 
@ ip 组 : 包含 关于 设备 的 IP 地 址 的 信息 。 
@ icmp 组 : 包含 关于 设备 的 Internet 控制 消息 协议 的 


信息 。 上 二 2 
@ tcp 组 : 包含 关于 设备 的 传输 控制 协议 的 信息 。 1 toees 
@ udp 组 : 包含 关于 设备 的 用 户 数据 报 协议 的 信息 。 二 
@ cgp 组 : 包含 关于 设备 的 外 部 网 关 协议 的 信息 , 随 着 全 
SNMP 的 发 展 ,这 个 组 现在 也 已 经 不 再 使 用 了 。 aie 
@ snmp 组 : 包含 关于 设备 的 简单 网 络 管理 协议 的 信息 。 a 
图 7-4 所 示 为 MIB-2 的 组 成 图 。 A 


2. MIB-2 功能 组 常用 的 对 象 
下 面 简单 介绍 一 些 常 用 的 对 象 , 详 细 的 介绍 读者 可 以 参考 


相关 资料 。 

@ sysDescr 对 象 ,用 于 设备 或 实体 的 描述 。 其 OID 是 : . iso. org. dod. internet. 
mgmt. mib-2. system. sysDescr( 或 记 为 . 1. 3. 6. 1.2.1.1.1)。 

@ sysObjectID 对 象 ,用 于 描述 设备 厂商 的 授权 标识 符 。 其 OID 是 : . iso. org. dod. 
internet. mgmt. mib-2. system. sysObjectID( 或 记 为 . 1. 3. 6. 1.2.1.1.2)。 

@ sysName 对 象 ,用 于 描述 设备 的 名 字 , 可 能 是 官方 的 主机 名 或 者 是 分 配 的 管理 名 字 。 
其 OID 是 : .iso. org. dod. internet. mgmt. mib-2. system. sysName( 或 记 为 . 1. 3. 6. 1. 2. 1. 1. 5) 。 

@ ifNumber 对 象 . 用 于 描述 本 地 系统 中 包含 的 网 络 接口 总 数 。 其 OID 是 : .iso. 
org. dod, internet. mgmt. mib-2. interfaces. ifNumber( 或 记 为 . 1. 3. 6. 1. 2. 1. 2. 1) 。 


@ ifDescr 对 象 ,用 于 描述 接口 的 一 个 字符 串 描 述 , 包 括 从 操作 系统 获得 的 接口 名 ， 
可 能 包括 eth0、ppp0 和 1o00 等 值 。 其 OID 是 : . iso. org. dod. internet. mgmt. mib-2. 
interfaces. ifDescr (或 记 为 . 1. 3. 6. 1.2.1.2.2.1.2)。 

G@ ifType 对 象 ,用 于 描述 接口 的 类 型 。 其 OID 是 : . iso. org. dod. internet. mgmt. 
mib-2. interfaces. ifType( 或 记 为 . 1. 3. 6. 1. 2. 1. 2. 2. 1. 3) 。 

@ ifMtu 对 象 , 用 于 描述 接口 的 最 大 传输 单元 , 即 接口 上 可 以 发 送 或 接受 的 最 大 帧 。 其 
OID 是 : . iso. org. dod. internet mgmt. mib-2. interfaces. ifMtu( 或 记 为 . 1. 3. 6. 1. 2. 1. 2. 2. 1. 4) 。 

@@ ifSpeed 对 象 .用 于 描述 接口 速率 (容量 )。 其 OID 是 : . iso. org. dod. internet. 
mgmt. mib-2. interfaces. ifSpeed( 或 记 为 . 1. 3. 6. 1. 2. 1.2. 2. 1.5) 。 

@ ifPhysAddress 对 象 ,用 于 描述 接口 的 数据 链 路 地 址 (物理 地 址 )。 其 OID 是 : .iso. 
org. dod. internet. mgmt. mib-2. interfaces. ifPhysAddress( 或 记 为 . 1. 3. 6. 1. 2. 1. 2. 2. 1.6) 。 

四 ifAdminStatus 对 象 , 用 于 描述 接口 的 管理 状态 ,该 状态 是 iiOperStatus 对 象 中 列 
出 的 已 定义 状态 之 一 。 其 OID 是 : . iso. org. dod. internet. mgmt. mib-2. interfaces. 
ifAdminStatus( 或 记 为 . 1. 3. 6. 1.2.1.2.2.1.7)。 
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加 ifOperStatus 对 象 ,用 于 描述 接口 当前 的 操作 状态 ,其 状态 包括 up (1)、down (2) 
和 testing (3)。 其 OID 是: . iso. org. dod. internet. mgmt. mib-2. interfaces. ifOperStatus 
(或 记 为 :13:6.1.201.2 .2.1.8)。 


7.3 SNMP 通信 模型 


简单 网 络 管理 协议 (SNMP) 最 初 是 由 因特网 工程 任务 组 织 (IETF) 的 研究 小 组 为 了 
解决 因特网 上 的 路 由 器 管理 问题 而 提出 的 。SNMP 被 设计 成 与 协议 无 关 , 可 以 在 IP、 
IPX、AppleTalk、OSI 以 及 其 他 用 到 的 传输 协议 上 使 用 。SNMP 包括 一 系列 协议 组 和 规 
范 , 提 供 了 一 种 从 网 络 上 的 设备 中 收集 网 络 管理 信息 的 方法 ,同时 也 为 设备 向 网 络 管理 站 
报告 问题 。 

SNMP 的 结构 分 为 SNMP 管理 者 和 SNMP 代理 两 部 分 。 管 理 者 从 代理 中 收集 数据 
有 两 种 方法 : 一 种 是 只 轮 询 的 方法 , 另 一 种 是 基于 中 断 的 方法 。 

只 轮 询 的 方法 ,是 由 管理 者 每 间隔 一 段 时 间 , 向 各 个 代理 依次 发 送 询问 信息 ,然后 由 
代理 返回 查询 结果 ,这 种 方法 可 以 使 代理 总 是 在 管理 者 的 控制 之 下 。 只 轮 询 方法 的 缺陷 
在 于 信息 的 实时 性 比较 差 。 因 为 如 果 轮 询 间隔 太 小 ,那么 将 产生 太 多 不 必要 的 通信 量 。 
如 果 轮 询 间隔 太 大 ,并 且 在 轮 询 时 顺序 不 对 ,那么 对 于 一 些 大 的 灾难 性 的 事件 的 通知 就 会 
太 慢 。 

基于 中 断 的 方法 是 当 有 异常 事件 发 生 时 ,由 代理 主动 向 管理 者 发 送信 息 ,使 管理 者 可 
以 及 时 地 了 解 网 络 设备 的 状态 。 基 于 中 断 的 方法 也 有 一 定 的 缺陷 , 当 异 常事 件 发 生 且 要 
传送 的 信息 量 较 大 时 ,这 种 方法 需要 消耗 大 量 的 系统 资源 ,从 而 影响 了 代理 执行 主要 的 功 
能 ,另外 当 多 个 代理 同时 发 生 中 断 时 ,网 络 将 变 得 非常 拥挤 。 

SNMP 结合 上 述 两 种 方法 的 优点 和 缺点 ,形成 了 面向 自 陷 的 轮 询 方法 , 它 是 执行 网 


络 管理 最 为 有 效 的 方法 。 一 般 情况 下 ,管理 者 通过 轮 询 代 理 进行 信息 收集 ,在 控制 台 上 用 
数字 或 图 形 来 显示 这 些 ,提供 对 网 络 设备 工作 状态 和 网 络 通信 量 的 分 析 和 管理 功能 。 


当代 理 设备 出 现 异 常 状态 时 ,代理 通过 SNMP 自 陷 立 即 向 网 络 管理 者 发 送 通知 。SNMP 
定义 了 get、get-next 和 set 3 种 基于 轮 询 的 操作 ,并 且 还 定义 了 基于 中 断 的 trap 操作 。 


731 SNVP 协议 数据 单元 


SNMP 的 工作 原理 非常 简单 ,在 管理 者 。 SNMP 管 理 者 SNMP 代 理 
和 代理 之 间 实时 传递 信息 ,这 些 信息 被 称 为 pp 
协议 数据 单元 (PDU) ,在 SNMP 中 一 共 定义 rt 
了 4 类 协议 数据 单元 ,如 图 7-5 所 示 为 这 4 种 -reponse| uOPWO161 
操作 的 示意 图 。 set-request 

SNMP 协议 被 封装 在 UDP 协议 中 .前 3 sponse | e161 


种 操作 使 用 UDP 的 161 端口 ,由 代理 发 出 的 ”| UDP 端 D162 
trap 操作 使 用 UDP 的 162 端口 。 图 7-6 所 示 
为 SNMP 4 种 操作 的 报 文 格式 。 


trap 


7-5 SNMP 4 种 报 文 的 操作 示意 图 
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= IP 数 据 报 | 
UDP 数 据 报 

| SNMP 报 文 | 

IP 首 部 | UDP 首部 | SNMP 版 本 | 共同 体 | 协议 数据 报 单元 PDU 


PD 关于 | 请 标识 | 过错 状态 | 差错 索引 | 对 象 名 | 对 象 值 | …… 
get/set 首 部 一 一 变量 绑 定 -| 

PDU 基 型 代理 的 ap 类 型 | 特定 
(4) | 企业 | 地址 | (0~6) | 代码 上 同时 对 象 值 | ……: 
一 trap 首 前 -| 变量 绑 定 -| 


7-6 SNMP 报 文 格式 


1. SNMP 版 本 与 共同 体 

SNMP 的 报 文 一 般 包括 3 个 部 分 : SNMP 版 本 .共同 体 和 协议 数据 单元 (PDU) 。 

SNMP 版 本 用 于 标识 管理 者 和 代理 使 用 的 是 哪个 版 本 的 SNMP 协议 ,到 现在 为 止 可 
以 使 用 的 SNMP 版 本 共有 3 个 ,分 别 是 : SNMPv1、SNMPv2 和 SNMPv3。 在 SNMP 版 
本 中 存放 的 版 本 值 比 实际 应 用 的 版 本 号 小 1。 例 如 ,管理 者 或 代理 使 用 的 是 SNMPv1, 则 
这 项 的 值 是 0。 

共同 体 是 一 个 字符 串 ,作为 管理 者 与 代理 之 间 的 明文 口令 ,常用 的 是 6 个 字符 , 值 是 
“public”, 该 值 可 以 由 管理 员 设 置 。 

协议 数据 单元 (PDU) 是 SNMP 报 文 的 主要 内 容 所 在 , 它 有 两 种 报 文 类 型 : get/set 报 
文 和 trap 报 文 。 

2. get/set 报 文 

get/set 报 文 是 基于 轮 询 的 操作 ,是 由 管理 者 首先 向 代理 发 出 查询 或 设置 命令 ,然后 
由 代理 返回 操作 结果 。get/set 报 文 主要 包括 PDU 类 型 .请求 标识 、 差 错 状态 、 差 错 索 引 
和 变量 绑 定 5 部 分 。 

PDU 类 型 用 来 表示 SNMP 报 文 的 功能 .共有 5 个 值 可 以 使 用 ,如 表 7-7 所 示 。PDU 
类 型 项 中 的 值 是 一 个 特殊 类 型 (上 下 文 相关 的 构造 类 型 ) 的 值 ,只 用 一 个 字 节 来 表示 。 


表 7-7 PDU 类 型 
PDU 类 型 名 称 二 进 制 值 十 六 进 制 值 
0 get-request 10100000 Oxa0 
1 get-next-request 10100001 Oxal 
2 get-response 10100010 Oxa2 
3 set-request 10100011 Oxa3 
4 trap 10100100 Oxa4 
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请 求 标识 是 由 管理 进程 设置 的 一 个 整数 值 。 每 一 个 进程 都 有 一 个 相应 的 标识 ,使 管 
理 进程 能 够 识别 返回 的 响应 报 文 对 应 于 哪 一 个 请 求 报 文 .同一 对 请 求 报 文 和 响应 报 文 使 
用 同一 个 标识 。 

差错 状态 是 由 代理 设置 的 一 个 值 .用 于 标识 返回 的 报 文 是 否 有 错 . 以 及 出 现 了 什么 样 
的 错误 。 差 错 状态 有 6 个 值 可 以 使 用 ,如 表 7-8 所 示 。 


表 7-8 差错 状态 
差错 状态 名 称 描 述 
0 noError 没有 错误 
1 tooBig 代理 进程 无 法 把 响应 放 在 一 个 SNMP 消息 中 发 送 
总 noSuchName 操作 一 个 不 存在 的 变量 
3 badValue set 操作 的 值 或 语义 有 错误 
4 readOnly 管理 进程 试图 修改 一 个 只 读 变量 
5 genError 其 他 错误 


差错 索引 也 是 一 个 由 代理 设置 的 值 ,用 来 指明 差错 发 生 哪 个 变量 上 ( 即 变量 列表 中 的 
偏 移 ) 。 注 意 ,并 不 是 所 有 差错 都 有 差错 索引 ,只 有 发 生 差错 2.3 和 4 时 才 会 有 差错 索引 。 

变量 绑 定 是 由 一 个 或 多 个 对 象 名 和 对 象 值 对 组 成 。 如 果 是 get-request 和 get-next- 
request 操作 ,对 象 名 由 管理 者 设置 ,并 把 对 象 值 设置 为 空 (NULL) 类 型 ,代理 收 到 后 就 根 
据 对 象 名 查询 对 应 的 对 象 值 , 如 果 找 到 , 则 把 对 象 名 和 对 象 值 返回 给 管理 者 。 如 果 是 set- 
request 操作 , 则 对 象 名 和 对 象 值 均 由 管理 者 设置 ,代理 收 到 后 只 把 对 应 的 对 象 名 的 值 改 
为 管理 者 设置 的 对 象 值 。 变 量 绑 定 中 可 以 出 现 多 个 对 象 名 和 对 象 值 对 , 即 一 个 SNMP 报 
文 可 以 查询 (get 操作 ) 或 设置 (set 操作 ) 多 个 对 象 。 

3. trap 报 文 

trap 报 文 是 基于 中 断 的 操作 ,当代 理 设备 发 生 异 常 时 ,代理 即 向 管理 者 发 送 这 个 报 
文 。trap 报 文 主要 包括 PDU 类 型 企业 .代理 的 IP 地 址 ,trap 类 型 ,特定 代码 、 时 间 惟 和 
变量 绑 定 7 部 分 。 

PDU 类 型 在 trap 报 文中 固定 为 4。 

企业 项 是 trap 报 文 的 网 络 设备 的 对 象 标 识 符 。 此 对 象 标识 符 在 MIB 树 上 的 
enterprises 节点 {1. 3. 6.1.4.1)( 见 图 7-2) 下 面 的 一 棵 子 树 上 。 

代理 的 IP 地 址 项 标明 代理 设备 的 IP 地 址 是 何 值 。 

trap 类 型 标明 trap 报 文 的 类 型 ,共有 7 种 选项 ,如 表 7-9 所 示 。 


表 7-9 trap 类 型 


trap 类 型 名 称 说 明 
0 coldStart 代理 进行 了 初始 化 
1 warmStart 代理 进行 了 重新 初始 化 
2 linkDown 一 个 接口 从 工作 状态 变 为 故障 状态 
革 linkUp 一 个 接口 从 故障 状态 变 为 工作 状态 
4 authenticationFailure 从 SNMP 管理 进程 接收 到 一 个 具有 无 效 共 同体 的 报 文 
5 egpNeighborLoss 一 个 EGP 相 邻 路 由 器 变 为 故障 状态 
6 enterprisespecific 在 这 个 特定 的 代码 字段 中 查找 trap 信息 
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trap 类 型 为 2.3、5 时 ,在 报 文 后 面 变 量 部 分 的 第 一 个 变量 对 应 标识 响应 的 接口 。 
时 间 惟 项 指明 自 代 理 进 程 初始 化 到 trap 报告 的 事件 发 生 所 经 历 的 时 间 ,单位 为 10ms。 
变量 绑 定 的 内 容 与 get/set 报 文中 的 变量 绑 定 相同 。 


732 SNMP 的 安全 机 制 


在 网 络 管理 系统 的 代理 设备 上 存放 着 大 量 的 管理 信息 库 , 它 们 的 安全 直接 影响 到 整 
个 网 络 系统 的 安全 。 为 了 保证 代理 能 够 保护 其 自身 以 及 MIB, 使 MIB 能 够 拒绝 非法 的 访 
问 ,代理 需要 设置 一 些 安 全 机 制 。 

在 SNMP 中 ,代理 不 但 要 控制 自己 本 地 的 MIB ,而 且 必 须 控制 多 个 管理 者 对 该 MIB 
的 使 用 。 这 种 控制 包含 3 个 方面 。 

。 认证 服务 。 代 理 可 以 把 对 MIB 的 访问 权限 限制 为 已 被 授权 的 管理 者 。 
访问 策略 。 代 理 可 以 给 不 同 的 管理 者 不 同 的 访问 特权 。 
转换 代理 服务 。 一 个 代理 可 以 作为 其 他 被 管理 站 的 转换 代理 ,包括 在 转换 代理 系 
统 中 ,为 其 他 的 被 管理 系统 实现 认证 服务 或 访问 策略 。 

1. SNMPv1l 的 安全 机 制 

SNMPvl 是 SNMP 的 第 一 个 版 本 ,其 安全 性 上 的 设计 非常 简单 ,仅仅 提供 了 有 限 的 
安全 机 制 , 即 共同 体 的 概念 。 

共同 体 的 概念 在 7. 3. 1 小 节 中 已 经 提 到 过 , 它 是 一 个 明文 的 字符 串 , 每 一 个 SNMP 
共同 体 都 是 一 个 在 SNMP 代理 和 多 个 SNMP 管理 者 之 间 定 义 的 认证 ,访问 控制 和 转换 
代理 的 关系 。 管 理 者 发 送 的 每 一 个 报 文中 ,都 必须 填写 好 对 应 的 共同 体 项 ,代理 收 到 这 些 
报 文 后 比 对 共同 体 的 内 容 , 如 果 正 确 则 被 允许 访问 对 应 的 对 象 .反之 则 被 拒绝 。 共 同体 在 
这 里 起 到 密码 的 作用 ,如 果 发 送 者 知道 这 个 密码 ,就 认为 该 信息 通过 了 认证 ,是 可 靠 的 。 

共同 体 不 但 有 认证 的 功能 .还 有 设置 访问 权限 的 功能 。 一 条 已 通过 认证 的 信息 对 
MIB 有 何 访问 权限 也 是 通过 共同 体 来 实现 的 。 代 理 为 每 一 个 共同 体 定义 了 一 个 SNMPv1 
共同 体 框 架 文 件 , 该 框架 文件 包括 两 部 分 。 

。 MIB 视图 。MIB 中 对 象 一 个 子 集 ,对 不 同 的 共同 体 可 以 定义 不 同 的 视图 ,属于 同 

一 视图 的 对 象 不 必 同 属于 一 个 MIB 子 树 。 

。 访问 模式 。 共 同体 可 以 定义 一 种 访问 模式 。 

2. SNMPv2 的 安全 机 制 

由 于 SNMPv1 的 安全 机 制 过 于 简单 ,因此 SNMPv2 加 强 了 安全 的 考虑 。SNMPv2 
具有 支持 分 布 式 网 络 管理 ,扩展 数据 类 型 .可 以 实现 大 量 数 据 的 同时 传输 、 丰 富 故 障 处 理 
能 力 、 增 加 集合 处 理 功 能 、 加 强 数据 定义 语言 等 特点 。 

此 外 ,SNMPv2 还 引入 了 上 下 文 的 概念 。 上 下 文 是 一 个 可 被 SNMPv2 实体 访问 的 被 
管理 对 象 资源 的 集合 ,分 为 本 地 上 下 文 和 远程 上 下 文 , 本 地 上 下 文 被 标识 为 一 个 MIB 视 
图 ,远程 上 下 文 被 标识 为 一 个 转换 代理 关系 。 

使 用 了 上 下 文 的 访问 控制 策略 由 以 下 4 个 元 素 组 成 。 

。 目标: SNMP 参加 者 按 主体 方 的 请 求 执行 管理 操作 。 

。 主体 : SNMP 参加 者 请 求 目标 方 执行 管理 操作 。 
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。 资源 : 管理 操作 在 其 上 执行 的 管理 信息 ,可 表示 为 一 个 本 地 MIB 视图 或 一 个 代理 

关系 ,资源 也 被 称 为 上 下 文 。 

。 权限 : 对 于 一 个 特定 的 上 下 文 可 允许 的 操作 ,这 些 操作 可 用 允许 的 协议 数据 单元 

定义 ,由 目标 代表 主体 执行 。 

但 是 ,SNMPv2 并 没有 完全 实现 预期 的 目标 ,尤其 是 安全 性 能 没有 得 到 提高 ,如 身份 
验证 ,加 密 、 授 权 和 访问 控制 .适当 的 远程 安全 配置 和 管理 能 力 等 都 没有 实现 。1996 年 发 
布 的 SNMPv2C 是 SNMPv2 的 修改 版 本 ,然而 就 在 新 的 文件 刚刚 发 布 时 就 有 人 发 现 其 安 
全 方面 存在 重要 缺陷 ,而 且 改 进 安全 设施 的 工作 又 迟 迟 没有 进展 ,最 后 决定 丢掉 安全 功 
能 ,把 增加 的 其 他 功能 作为 新 标准 颁布 .并 保留 了 SNMPv1l 的 报 文 封装 格式 ,继续 使 用 
SNMPv1l 的 基于 明文 密 钥 的 身份 验证 方式 。 

3. SNMPv3 的 安全 机 制 

1998 年 1 月 IETF 提出 了 互联 网 建议 RFC 2271 一 RFC 2275 ,正式 形成 了 SNMPv3 。 
这 一 系列 文件 定义 了 包含 SNMPvl 和 SNMPv2 所 有 功能 在 内 的 体系 框架 以 及 包含 验证 
服务 和 加 密 服 务 在 内 的 全 新 的 安全 机 制 , 同 时 还 规定 了 一 套 专 门 的 网 络 安全 和 访问 控制 
规则 。RFC 2271 定义 的 SNMPv3 体系 结构 体现 了 模块 化 的 设计 思想 ,可 以 简单 地 实现 
功能 的 增加 和 修改 。 其 特点 主要 有 : 

@ 安全 性 好 : 具有 多 种 安全 处 理 模块 。 

@ 适应 性 强 : 适用 于 多 种 操作 环境 , 既 可 以 管理 最 简单 的 网 络 ,实现 基 本 的 管理 功 
能 ,又 能 够 提供 强大 的 网 络 管理 功能 ,满足 复杂 网 络 的 管理 需求 。 

@ 扩充 性 好 : 可 以 根据 需要 增加 模块 。 

SNMPv3 主要 有 3 个 模块 : 信息 处 理 和 控制 模块 .本 地 处 理 模块 和 用 户 安全 模块 。 

(1) 信息 处 理 和 控制 模块 在 RFC 2272 中 定义 ,负责 信息 的 产生 和 分 析 ,并 判断 信息 
在 传输 过 程 中 是 否 要 经 过 代理 服务 器 。 

(2) 本 地 处 理 模 块 的 主要 功能 是 进行 访问 控制 .处 理 打包 的 数据 和 中 断 。 访 问 控制 
是 指 通过 设置 代理 的 有 关 信 息 使 不 同 管理 者 的 管理 进程 在 访问 代理 时 具有 不 同 的 权限 ， 
在 协议 数据 单元 一 级 完成 。 访 问 控 制 的 策略 必须 预先 设 定 。SNMPv3 通过 使 用 带 有 不 
同 参数 的 原 语 来 灵活 确定 访问 控制 方式 。 

(3) 用 户 安全 模块 。 与 前 两 个 版 本 相 比 .SNMPv3 增加 了 3 个 新 的 安全 机 制 : 身份 
验证 ,加 密 和 访问 控制 。 其 中 ,访问 控制 功能 由 本 地 处 理 模 块 完成 ,而 身份 验证 和 数据 保 
密 服 务 则 由 用 户 安全 模块 提供 。 身 份 验证 是 指 代理 或 管理 者 接 到 信息 时 必须 确认 信息 是 
否 来 自 授权 的 管理 者 或 代理 ,以 及 信息 在 传输 过 程 中 是 否 改 变 。 这 个 功能 的 实现 要 求 管 
理 者 和 代理 必须 共享 同一 密 钥 。 管 理 者 使 用 密 钥 计算 验证 码 , 然 后 将 其 加 入 信息 中 ,而 代 
理 则 使 用 同一 密 钥 从 接收 的 信息 中 提取 出 验证 码 , 从 而 得 到 信息 。 加 密 的 过 程 与 身份 验 
证 类 似 ,也 需要 管理 者 和 代理 共享 同一 密 钥 来 实现 信息 的 加 密 和 解密 。SNMPv3 使 用 私 
钥 和 验证 密 钥 来 实现 身份 验证 和 加 密 功 能 。 
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SNMP 共有 4 种 操作 .分 别 是 get-request、get-next-request、set-request 和 trap .这些 
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操作 可 以 完成 查询 或 设置 简单 对 象 . 查 询 未 知 对 象 .查询 或 设置 表 对 象 和 陷 人 操作 等 
功能 。 

1. 查询 或 设置 简单 对 象 

查询 简单 的 对 象 值 可 以 用 get-request 操作 ,代理 响应 的 是 get-response 报 文 。 如 果 
变量 绑 定 项 中 含有 多 个 对 象 名 , 则 一 次 可 以 查询 多 个 对 象 的 值 。 接 收 get-request 的 SNMP 
实体 以 请 求 标识 相同 的 get-request 响应 。 特 别 要 注意 的 是 get-request 操作 的 原子 性 , 即 
如 果 所 有 请 求 的 对 象 值 都 可 以 得 到 , 则 给 予 应 答 ; 反之 ,只 要 有 一 个 对 象 的 值得 不 到 , 则 
可 能 返回 下 列 错 误 条 件 之 一 : 

Q@ 变量 绑 定 项 中 的 一 个 对 象 无 法 与 MIB 中 的 任何 对 象 名 匹配 ,或 者 要 检索 的 对 象 
是 一 个 复杂 类 型 (比如 子 树 或 表 等 ) ,其 没有 对 象 实例 生成 ,那么 在 这 些 情况 下 ,代理 返回 
的 PDU( 即 get-response) 中 差错 状态 字段 置 为 noSuchName, 错 误 索引 字段 设置 为 出 错 
的 对 象 名 在 变量 绑 定 中 的 偏 移 量 ,变量 绑 定 项 中 不 返回 任何 值 。 

@ 代理 设备 中 的 响应 实体 可 以 提供 所 有 要 检索 的 值 ,但 是 所 请 求 的 变量 太 多 ,一 个 
响应 PDU 装 不 下 ,这 往往 是 由 下 层 协 议 数 据 单元 大 小 限制 的 。 这 时 响应 实体 返回 一 个 
应 答 PDU ,其 差错 状态 字段 置 为 tooBig。 

@ 由 于 其 他 原因 (例如 代理 不 支持 等 ) ,代理 中 的 响应 实体 至 少 不 能 提供 一 个 对 象 的 
值 , 则 返回 的 PDU 中 差错 状态 字段 置 为 genError, 错 误 索 引 字段 设置 为 出 错 的 对 象 名 在 
变量 绑 定 中 的 偏 移 量 ,变量 绑 定 项 中 不 返回 任何 值 。 

设置 简单 的 对 象 值 可 以 用 set-request 操作 ,代理 用 于 响应 的 同样 也 是 getrresponse 
报 文 。set-request 操作 也 可 以 一 次 含有 多 个 对 象 名 ,如 果 所 有 的 对 象 都 可 以 修改 , 则 修改 
所 有 请 求 的 对 象 的 值 ; 如 果 至 少 有 一 个 对 象 不 能 修改 , 则 所 有 请 求 的 对 象 的 值 均 不 被 修 
改 , 并 在 差错 状态 字段 中 指明 出 错 原因 (例如 对 象 是 只 读 的 ) 。 

2. 查询 未 知 对 象 

如 果 不 能 确定 对 象 的 名 称 , 则 可 以 用 get-next-request 操作 查询 指定 对 象 名 的 下 一 个 
对 象 实例 ,但 是 并 不 要 求 指定 的 对 象 名 或 者 是 子 树 的 对 象 标签 必须 存在 。get-next- 
request 还 可 以 遍历 整个 MIB 树 。 

3. 查询 或 设置 表 对 象 

set-request 操作 用 于 修改 对 象 的 值 , 它 的 操作 与 对 简单 对 象 操作 类 似 。getrnext- 
request 操作 可 以 查询 表 对 象 ,或 是 遍历 整个 MIB 树 。 

4. 陷入 操作 

陷 人 操作 是 由 代理 向 管理 者 发 出 的 异步 事件 警告 . 它 不 需要 应 答 报 文 。SNMP 规定 
了 6 种 陷入 条 件 : 

Q@ coldStart 发 送 实 体重 新 初始 化 ,代理 的 配置 已 经 改变 。 这 种 情况 经 常 是 由 系统 失 
效 引起 的 。 

@ warmStart 发 送 实 体重 新 初始 化 .但 代理 的 配置 没有 改变 。 这 种 情况 是 正常 的 重 
启动 过 程 。 

@ linkDown 链 路 失效 通知 ,其 中 变量 绑 定 项 的 第 一 项 指明 对 应 接口 表 的 索引 对 象 
及 其 值 。 
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@ linkUp 链 路 启动 通知 ,其 中 变量 绑 定 项 的 第 一 项 指明 对 应 接口 表 的 索引 对 象 及 
其 值 。 

@@ authenticationFailure 发 送 实体 收 到 一 个 没有 通过 认证 的 报 文 。 

@ egpNeighborLoss 相 邻 的 外 部 路 由 器 失效 或 关机 。 

@ enterpriseSpecific 由 设备 制造 商定 义 的 陷 人 条 件 ,在 特殊 陷入 字段 项 中 指明 具体 
的 陷入 类 型 。 
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前 面 介 绍 了 SNMP 的 操作 功能 以 及 MIB-2 功能 组 的 组 成 ,下 面 通过 实例 来 看 一 看 
SNMP 报 文 的 组 成 以 及 它 是 如 何 传输 的 。 

1。Microsoft 网 络 监视 器 

网 络 的 底层 就 是 数据 包 , 只 有 了 人 解 这 些 在 网 络 上 传输 的 数据 包 , 才 能 真正 认识 网 络 系 
统 。 现 在 有 很 多 网 络 数据 包 的 捕获 工具 .例如 ,SnifferPro、Ethereal 等 。 这 些 工具 功能 强 
大 操作 方便 .界面 友好 ,是 网 络 管理 员 维护 网 络 必 不 可 少 的 工具 。 

虽然 这 些 工具 非常 好 用 ,但 是 有 些 工具 需要 花 钱 购买 ,有 些 工 具 则 安装 非常 复杂 , 因 
此 本 书 并 没有 采用 这 些 工具 ,而 是 使 用 了 微软 公司 在 Windows Server 2000( 或 以 上 ) 和 
Windows Server 2003 版 本 上 自 带 的 Microsoft 网 络 监视 器 。 

选择 “开始 ”一 “程序 ”>“ 管 理工 具 ” 一 “网 络 监视 器 ”命令 ,打开 Microsoft 网 络 监视 
器 ,如 图 7-7 所 示 。 


ETEEIEITEETETDD -lolxl 

EE 捕获 尼 工具 GD) 碗 项 DO) 窗口 @ 帮助 0D =1912] 

EE 

: pH 
| 网 隔 酉 视 器 V5.2.3790 到 


图 7-7 “Microsoft 网 络 监视 器 ”窗口 


如 果 是 第 一 次 使 用 , 则 在 刚 打 开 Microsoft 网 络 监 视 器 时 会 弹出 如 图 7-8 所 示 的 “ 选 
择 一 个 网 络 ” 对 话 框 , 在 该 对 话 框 中 用 户 可 以 选择 想 要 监视 的 网 络 接 口 , 这 里 选择 “本 地 连 
接 ”, 单 击 “ 确 定 ” 按 钮 。 如 果 在 使 用 过 程 中 需要 改变 被 监视 的 网 络 接口 , 则 可 以 在 
“Microsoft 网 络 监 视 器 ”窗口 中 选择 “捕获 “网络 "命令 ,也 可 以 打开 这 个 对 话 框 。 


图 7-8 “选择 一 个 网 络 ” 对 话 框 
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选择 好 网 络 接口 后 就 可 以 开始 监视 了 , 单 击 图 7-7 工具 栏 中 的 “开始 ”按钮 ,监视 器 就 ”223 
会 监听 从 这 时 起 的 所 有 网 络 数据 包 。 如 果 需 要 查看 数据 包 的 详细 内 容 , 则 可 以 单 击 “停止 
并 查看 ”按钮 ,弹出 如 图 7-9 所 示 的 捕获 窗口 。 如 果 用 户 对 某 一 个 数据 包 感 兴趣 ,可 以 双 
击 这 个 数据 包 ,以便 更 详细 地 了 解 该 数据 包 的 内 容 。 


CEETTETEETESREEEE3D 了 =I9)xl 
见 文 件 四 编辑 EE) 显示 四 ) 工具 CD) 选项 @@) 窗口 中 帮助 0 =le|x| 
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2 000078C25122 BROADCAST ARP_RARF Targst IP: 10.22.1.13 
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4 5.250000 00DOFSC25122 #BROADCAST ARP_RARP Target IP; 10.22.1.13 

5 5.890825 B88 BRDADCAST JET for YORKGEOUP CIC> 

6 6.640825 。 00065B66DS3C BRDADCAST JET qfor WORKGROUP 《IC》 

T 0.000000 XEROX 000000 XERDX 000000 STATS humber of Franes Captured = 6 

4 | 天 
| 二 后 族 视 器 .2.3790 VT | 

图 7-9 捕获 窗口 


Microsoft 网 络 监视 器 还 有 很 多 其 他 功能 ,由 于 篇 幅 有 限 ,这 里 就 不 一 一 介绍 了 ,读者 
如 果 有 兴趣 ,可 以 参看 相关 的 参考 资料 。 

2. Getif 

Getif 是 一 款 免 费 使 用 的 简单 网 络 管理 工具 ,是 通过 SNMP 协议 访问 被 管理 的 设备 ， 
其 主 界面 如 图 7-10 所 示 。 


IE 
Ip discovery MBrowser | Graph 
Paraneters | Tnterfaces | Mddresses | Routing Toble | Mrp | con Table | Reoehability | Traceroute | NSLookop | 
Nost nme [oz SM Preeters 
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DO | 宇 二 ivete Betries FF 


SysObjectIl [enterprises. 311.1.1.3.1.2 
Sys\pTine [Li4:07:13.31 


Configuration 


Set as afeol| Load default | actory settine| Telnet 
Telnet einet. exe Browse ... 


图 7-10 ”Getif 主 界面 


首先 在 Host name 组 合 框 中 输入 要 访问 的 设备 的 全 地 址 :然后 在 SNMP Parameters 选 
项 组 中 的 Read 和 Write 文本 框 中 输入 共同 体 的 值 (默认 是 public 和 private) ,最 后 单 击 Start 
按钮 即 可 。 如 果 被 管理 设备 可 以 正常 访问 , 则 会 返回 相应 的 参数 ,如 果 被 管理 设备 不 能 正 
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常 访问 , 则 在 窗口 最 下 面 的 状态 栏 中 显示 相应 的 错误 信息 。 

Getif 工具 有 很 多 功能 .包括 网 络 接口 查看 (Interface)、 地址 查看 (Address)、 路 由 表 
查看 (Routing Table)、ARP 地 址 查看 (Arp) \IP 地 址 发 现 (IP discovery) 等 。 由 于 篇 幅 有 
限 ,这 里 就 不 一 一 介绍 了 ,读者 如 果 有 兴趣 ,可 以 参看 相关 的 参考 资料 。 这 里 主要 介绍 
MBrowser 功能 ,该 功能 是 以 树 型 的 方式 查看 MIB。MBrowser 选项 卡 如 图 7-11 所 示 。 
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7-11 MBrowser 选项 卡 


第 一 个 文本 框 中 显示 OID 标识 ,第 二 个 文本 框 中 显示 数字 OID 标识 ,中 间 的 左 侧 部 
分 显示 树 型 结构 , 右 侧 部 分 显示 这 个 对 象 的 一 些 参数 和 说 明 ,再 下 面 的 文本 框 中 显示 这 个 
对 象 的 值 。 当 用 户 在 树 型 结构 中 选择 了 某 一 对 象 , 单 击 Start 按钮 ,相应 对 象 的 值 就 会 显 
示 在 这 里 。 

下 面 演示 两 个 例子 。 第 一 个 示例 是 查看 OID 为 . iso. org. dod. internet. mgmt. mib-2. 
system. sysDescr 的 对 象 的 值 . 首 先 在 树 型 结构 中 选择 这 个 对 象 , 单 击 Start 按钮 ,列表 框 中 
就 会 出 现 如 图 7-12 所 示 的 内 容 。 

第 二 个 示例 是 查看 system 组 中 所 有 成 员 对 象 的 值 。 首 先 选择 对 象 . iso. org. dod. 
internet. mgmt. mib-2. system;, 单 击 Start 按钮 .列表 框 中 就 会 出 现 如 图 7-13 所 示 的 内 容 。 

3. 捕获 和 分 析 SNMP 数据 包 

有 了 Microsoft 网 络 监视 器 和 Getif 两 个 工具 ,捕获 和 分 析 SNMP 数据 包 就 非常 容易 
了 。 首 先 启动 Microsoft 网 络 监视 器 并 开始 监听 ,然后 启动 Getif, 选 择 相 应 的 OID 对 象 ， 
单 击 Start 按钮 ,接着 单 击 “Microsoft 网 络 监视 器 ”窗口 中 的 “停止 并 查看 ”按钮 ,打开 如 
图 7-9 所 示 的 捕获 窗口 .再 双击 相应 的 数据 包 就 可 以 分 析 该 数据 包 了 。 

下 面 举 一 个 示例 。 假 设 要 查看 某 一 设备 的 OID 为 . iso. org. dod. internet. mgmt. 
mib-2. system. sysDescr 对 象 的 值 。 按 照 上 述 步 又 捕获 了 相应 的 数据 包 , 如 图 7-14 所 示 。 
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图 7-12 查看 . iso. org. dod. internet. mgmt. mib-2. system. sysDescr 对 象 的 值 
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图 7-13 查看 .iso. org. dod. internet. mgmt. mib-2. system 组 中 所 有 对 象 的 值 
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图 7-14 捕获 数据 包 窗口 
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226 其 中 ,第 3 个 数据 包 是 SNMP 请 求 数 据 包 ,第 4 个 数据 包 是 SNMP 应 答 数据 包 。 


击 第 3 个 数据 包 , 打 开 如 图 7-15 所 示 的 数据 包 分 析 窗 口 。 
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图 7-15 数据 包 分 析 窗 口 一 


双 


这 个 窗口 分 为 3 个 部 分 .上面 是 捕获 的 数据 包 列表 ,中 间 是 用 户 选 中 的 数据 包 的 分 析 
情况 ,下 面 是 数据 包 的 十 六 进 制 表现 形式 。 通 过 中 间 的 数据 包 分 析 可 以 看 到 ,SNMP 请 
求 数据 包 分 为 5 大 部 分 : FRAME( 数 据 包 的 全 部 数据 )`ETHERNET( 以 太 网 数据 头 部 


分 ) IP(CIP 数据 头 部 分 )\UDPCUDP 数据 报头 部 分 ) 和 SNMP(SNMP 数据 部 分 ) 。 
下 面 分 析 一 下 SNMP 的 数据 。 


Message type(SNMP 报 文 类 型 )。 这 个 例子 中 SNMPvl 对 应 的 十 六 进 制 的 值 是 
30, 表 示 后 面 的 数据 是 一 个 复合 的 构造 类 型 。 其 后 面 的 十 六 进 制 值 82 00 2C 表示 这 个 


SNMP 数据 部 分 去 除 前 4 个 字 节 后 的 长 度 (44 个 字 节 )。 


加 Version(SNMP 报 文 的 版 本 号 ) 。 这 个 例子 中 0 表示 SNMPv1。 根 据 ASN. 1 转 
换 语法 ,十 六 进 制 表 现形 式 窗 口中 被 选择 的 数据 的 第 5.6 和 7 字 节 表示 版 本 号 ,其 中 02 


表示 数据 类 型 ,01 表示 数据 长 度 ,00 表示 实际 的 值 。 


@ Community( 共 同体 )。 这 里 的 值 是 public, 对 应 的 十 六 进 制 是 04 06 70 75 62 6C 


69 63, 其 中 ,04 表示 是 字符 串 数据 ,06 表示 长 度 为 6 字 节 ,其 余 表示 实际 的 值 。 


@ PDU type( 协 议 数据 单元 (PDU) 的 类 型 )。 这 里 的 值 是 get-next request, 对 应 的 
十 六 进 制 值 是 al 。 其 他 操作 的 值 为 ,getrrequest 的 值 为 a0,getrresponse 的 值 为 a2。 再 


后 面 的 三 个 字 节 是 PDU 的 头 部 ,82 00 1D 表示 后 面 还 有 29 个 字 节 的 数据 。 
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回 Request ID( 请 求 标识 ) 。 数 据 包 占 4 个 字 节 ,其 中 第 一 个 02 表示 整 型 数据 ,第 二 227 


个 02 表示 数据 长 度 ,后 面 两 个 字 节 2064 表示 请 求 标 识 的 值 , 即 8292。 


@@ Error status( 差 错 状态 ) .在 请 求 时 值 设 置 为 0。 十 六 进 制 表 示 为 02 01 00。 

@ Error index( 差 错 索 引 ) ,在 请 求 时 值 设置 为 0。 十 六 进 制 表 示 为 02 01 00。 

@ Sequence。 这 里 有 两 个 Sequence, 都 表示 数据 是 集合 类 型 。 

@ OID( 请 求 的 OID 对 象 名 ) 。 这 里 的 值 是 1. 3. 6. 1. 2. 1. 1。 十 六 进 制 的 值 是 06 07 


2b 06 01 02 01 01 01, 其 中 第 一 个 06 数据 是 MIB 变量 名 称 类 型 ,07 表示 数据 的 长 度 ,2b 
表示 1.3 的 和 ( 即 1* 40 十 3 一 0x2b) 。 


四 NULL Value( 表 示 请 求 的 OID 对 象 的 值 ) 。 请 示 时 为 空 ,十 六 进 制 的 值 是 05 00。 
SNMP 请 求 数据 包 的 响应 包 紧 跟着 被 捕获 , 即 第 4 个 数据 包 。 双 击 第 4 个 数据 包 , 打 


开 如 图 7-16 所 示 的 数据 包 分 析 窗 口 。 
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图 7-16 ”数据 包 分 析 窗 口 二 
下 面 分 析 SNMP 的 数据 : 
“Message type”: SNMP 报 文 类 型 。 这 个 例子 中 “SNMPv1” 对 应 的 十 六 进 制 的 值 


是 “30”, 表 示 后 面 的 数据 是 一 人 再 后 面 的 十 六 进 制 值 “81 A9” 表 示 这 
个 SNMP 数据 部 分 去 除 前 几 个 字 节 后 的 长 度 (169 个 字 节 ) 。 
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四 “Version”: SNMP 报 文 的 版 本 号 。 这 个 例子 中 是 “0”, 即 表示 为 SNMPv1。 其 
十 六 进 制 对 应 的 数据 是 “02 01 00”, 其 中 “02” 表 示 数 据 类 型 “01” 表 示 数 据 长 度 ,“00” 表 
示 实 际 的 值 。 

@@“Community”: 共同 体 。 这 里 的 值 是 public”, 对 应 的 十 六 进 制 是 “04 06 70 75 62 
6C 69 63”, 其 中 *04” 表 示 是 字符 串 数据 ,*06” 表 示 长 度 为 6 字 节 , 其 余 表 示 实 际 的 值 。 

@@“PDU type”: 协议 数据 单元 (PDU) 的 类 型 。 这 里 的 值 是 get-response, 对 应 的 
十 六 进 制 值 是 “a2”"。 再 后 面 的 两 个 字 节 是 PDU 的 头 部 ,“81 9B” 表 示 后 面 剩余 数据 的 长 度 。 

@@“Request ID”: 请 求 标识 。 这 个 值 为 8292, 同 请 求 数 据 包 中 的 值 相同 。 

@ “Error status”: 差错 状态 。 这 个 例子 中 值 为 0, 表示 没有 错误 。 十 六 进 制 表示 为 
“02 01 00”。 

@@ “Error index”: 差错 索引 。 这 个 例子 中 值 为 0, 表 示 没 有 错误 。 十 六 进 制 表示 为 
“02 01 00”。 

@“Sequence”: 这 里 有 两 个 Sequence ,都 表示 数据 是 集合 类 型 。 

@“OID”: 请 求 的 OID 对 象 名 。 这 里 是 1. 3. 6. 1. 2. 1. 1。 十 六 进 制 的 值 是 “06 07 2b 
06 01 02 01 01 01”, 其 中 第 一 个 “06” 数 据 是 MIB 变量 名 称 类 型 ,“07” 表 示 数 据 的 长 度 ， 
“2b” 表 示 “1. 3” 的 和 ( 即 1 * 40 十 3 一 0x2b) 。 

四 “String Value”: 表示 请 求 的 OID 对 象 的 值 。 


7.4 ”远程 网 络 监视 


远程 网 络 监 控 (RMON) 是 对 SNMP 的 一 个 重要 增强 ,对 监测 和 管理 网 络 特别 有 用 。 
远程 网 络 监控 最 大 的 优点 就 在 于 它 与 现存 的 SNMP 框架 相 兼 容 , 不 需 对 SNMP 进行 任 
何 修改 即 可 使 用 。 


741 RMON 的 基本 概念 


远程 网 络 监控 (RMON) 是 一 个 标准 监控 规范 ,其 本 质 上 是 IETF 定义 的 一 组 对 管理 
信息 库 (MIB-2) 的 功能 的 扩展 , MIB-2 只 提供 单个 设备 的 管理 信息 ,而 RMON 可 以 使 各 
种 网 络 监 控 器 和 控制 台 系 统 之 间 交 换 网 络 监控 数据 .能 够 提供 信息 流量 的 统计 结果 和 对 
网 络 参 数 进行 分 析 , 以 便 做 出 对 网 络 的 故障 诊断 、 规 划 调 整 和 性 能 控制 。 

RMON 监视 系统 由 两 部 分 构成 : 代理 (监视 器 ) 和 管理 站 。RMON 代理 在 RMON 
MIB 中 存储 网 络 信息 ,代理 可 以 被 直接 安装 在 网 络 设备 中 ,也 可 以 是 在 PC 机 上 运行 的 一 
个 应 用 程序 。 代 理 只 能 看 到 流 经 其 自己 的 流量 ,所 以 在 每 个 被 监控 的 局 域 网 网 段 或 广 域 
网 链接 点 都 要 设置 RMON 代理 。 管 理 站 用 SNMP 获取 各 个 代理 中 的 数据 信息 ,汇总 后 
形成 整个 网 络 系统 的 信息 。 

当前 RMON 有 两 种 版 本 ,分 别 是 RMON 和 RMON2。 在 目前 使 用 较为 广泛 的 网 络 
硬件 设备 中 都 能 发 现 RMON . 它 定 义 了 9 个 MIB 组 服务 于 基本 远程 网 络 监 控 ; RMON2 
是 RMON 的 功能 扩展 ,其 主要 针对 数据 链 路 层 以 上 各 OSI 模型 层 进行 监控 。 
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1. 远程 网 络 监视 的 目标 

RMON 定义 了 远程 网 络 监控 的 管理 信息 库 , 以 及 SNMP 管理 站 和 远程 网 络 监视 器 
之 间 的 接口 ,一 般 RMON 只 是 监视 子 网 范围 内 的 通信 ,从 而 减少 管理 者 和 代理 之 间 的 通 
信和 负担 。RMON 具有 下 列 目 标 。 

OO 离线 操作 。 必 要 时 管理 者 可 以 停止 对 监控 器 轮 询 ,有 限 的 轮 询 可 以 节省 网 络 带宽 
和 通信 费用 。 即 使 不 受 管理 者 查询 ,监视 器 也 要 持续 不 断 地 收集 子 网 故障 .性 能 和 配置 方 
面 的 信息 ,统计 和 积累 数据 ,以 便 管理 者 查询 时 能 够 及 时 提供 相关 的 管理 信息 。 另 外 ,在 
网 络 系统 出 现 异常 情况 时 ,监视 器 也 能 及 时 向 管理 者 报告 。 

@ 主动 监视 。 如 果 监 视 器 有 足够 的 资源 ,通信 和 负载 也 容许 .监视 器 可 以 连续 性 地 或 
周期 性 地 运行 诊断 程序 ,查询 并 记录 网 络 系统 的 性 能 参数 ,在 子 网 出 现 失效 时 通知 管理 
者 ,给 其 提供 有 效 的 诊断 故障 信息 。 

@ 问题 检测 和 报告 。 如 果 主 动 监视 消耗 网 络 资源 太 多 ,监视 器 也 可 以 被 动 地 获取 网 
络 数据 ,可 以 配置 监视 器 ,使 其 连续 观察 网 络 资源 的 消耗 情况 ,记录 随时 出 现 的 异常 事件 ， 
并 在 出 现 错 误 事件 时 通知 管理 者 ,以 便 管理 者 做 出 相应 的 反应 。 

@ 提供 增值 数据 。 监 视 器 可 以 分 析 收 集 到 的 子 网 数据 ,从 而 减轻 管理 者 的 计算 
任务 。 

@ 多 管理 站 操作 。 一 个 互联 网 可 能 有 多 个 管理 站 ,这样 可 以 提高 可 靠 性 ,或 是 分 布 
地 实现 各 种 不 同 的 网 络 管理 功能 。 监 视 器 可 以 配置 为 并 发 的 工作 模式 ,为 不 同 的 管理 站 
提供 不 同 的 信息 。 

注意 : 不 是 每 一 个 监视 器 都 能 实现 上 述 所 有 目标 ,RMON 的 规范 只 是 提供 了 实现 这 
些 目 标的 基础 结构 和 理论 依据 。 

2. 表 管 理 操作 原理 

在 SNMPv 管理 框架 中 ,对 表 操 作 的 规定 很 不 完善 ,增加 和 删除 表 行 的 操作 是 不 明确 
的 。 这 种 模糊 性 常常 是 用 户 提问 的 焦点 和 抱怨 的 根源 。RMON 规范 包含 了 一 组 文字 约 
定 和 过 程 规则 ,在 不 修改 ,不 违反 SNMP 管理 框架 的 前 提 下 ,提供 了 清晰 准确 并 有 规律 性 
的 行 增加 和 行 删除 操作 。 

3. 多 管理 站 访问 

RMON 监视 器 应 允许 多 个 管理 站 并 发 访问 , 当 多 个 管理 站 同时 访问 时 可 能 出 现下 列 
问题 : 

QO@ 多 个 管理 站 对 资源 的 并 发 访问 可 能 超过 监视 器 的 能 力 ; 

加 一 个 管理 站 可 能 长 时 间 占 用 监视 器 资源 ,使 得 其 他 管理 站 无 法 访问 ; 

四 占用 监视 器 资源 的 管理 站 可 能 发 生 崩 溃 , 但 是 其 没有 释放 占用 的 资源 。 

对 于 上 述 问 题 ,RMON 提出 了 解决 问题 的 方法 : 

Q@ 管理 站 能 认得 自己 所 属 的 资源 ,也 知道 自己 不 再 需要 的 资源 ; 

@ 网 络 管理 操作 员 可 以 知道 管理 站 占有 的 资源 .并 决定 是 否 释放 这 些 资源 ; 

@ 一 个 被 授权 的 网 络 操作 员 可 以 单方 面 决定 是 否 释放 其 他 操作 员 所 占用 的 资源 ; 

@ 如 果 管 理 站 经 过 了 重启 动 过 程 ,应 该 首先 释放 不 再 使 用 的 资源 。 
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742 RMON 的 信息 管理 库 


RMON MIB 由 一 组 统计 数据 、 分 析 数 据 和 诊断 数据 构成 .利用 许多 供应 商 生产 的 标 
准 工具 都 可 以 显示 出 这 些 数 据 , 因 而 它 具 有 独立 于 供应 商 的 远程 网 络 分 析 功 能 。RMON 
规范 定义 了 管理 站 信息 库 RMON MIB, 它 是 MIB-2 下 面 的 子 树 ,其 OID 为 . iso. org. 
dod. internet. mgmt. mib-2. rmon(. 1. 3. 6. 1. 2. 1. 16 ) 。RMON MIB 共 分 为 9 个 组 ,存储 
在 每 一 组 中 的 信息 都 是 监视 器 从 一 个 或 几 个 子 网 中 统计 和 收集 的 数据 。 这 9 个 组 分 别 是 

QO@ 统计 量 组 (CStatistics) : 提供 了 一 个 以 太 网 状态 表 . 标 志 子 网 的 统计 信息 ,大 部 分 是 
计数 器 。 

@ 历史 组 (History) : 存储 通过 固定 间隔 取样 所 获得 的 子 网 信息 数据 ,其 由 历史 控 指 
标 和 以 太 网 历史 表 组 成 。 

@ 报警 组 (Alarm) : 由 一 个 表 组 成 ,该 表 定义 了 监视 的 变量 、 采 样 区 间 和 国 值 。 报 警 类 
型 有 两 种 : absolutevalue(1) 表 示 直 接 与 贱 比较 ; datavalue(2) 表 示 相 减 后 比较 校正 量 报警 。 

@ 主机 组 (Hosts): 收集 新 出 现 的 主机 信息 ,内 容 与 接口 组 同 。 

@ 主机 最 大 值 组 (Host Top N): 记录 某 组 参数 最 大 的 N 台 主 机 的 有 关 信 息 ,信息 来 
源 于 主机 组 。 

@ 矩阵 组 (Matrix) : 记录 子 网 中 主机 之 间 的 通信 重 ,信息 以 矩阵 形式 存储 。 

@ 过 滤器 组 (Filter) : 通过 过 滤 选 择 出 某 种 指定 的 特殊 分 组 ,这 个 组 定义 了 两 个 过 滤 
器 : 数据 过 滤器 按 位 模式 匹配 ; 状态 过 滤器 按 状态 匹配 。 

@ 捕获 组 (Capture) : 建立 一 组 缓冲 区 ,用 于 存储 从 通道 中 捕获 的 分 组 ,其 由 控制 表 
和 数据 表 组 成 。 

器 事件 组 (Event): 其 作用 是 管理 事件 ,由 事件 表 和 log 表 组 成 ,前 者 定义 事件 的 作 
用 ,后 者 记录 时 间 出 现 的 顺序 。 事 件 是 由 MIB 中 其 他 地 方 的 条 件 触 发 的 ,事件 也 能 触发 其 
他 地 方 的 作用 。 产 生 事件 的 条 件 在 RMON 其 他 组 中 定义 ,如 报警 组 和 过 滤 组 都 可 以 指向 事 
件 组 的 索引 项 。 时 间 还 能 使 事件 组 存储 有 关 信 息 , 甚 至 引起 代理 进程 发 送 陷 人 消息 。 


RMON 组 的 组 成 图 如 图 7-17 所 示 。 一 般 的 交换 机 Brmon 
至 少 支持 4 组 ( 即 统计 量 组 .历史 组 ,报警 组 和 事件 组 )。 Ea 
这 9 个 功能 组 都 是 任 选 的 ,但 实现 时 有 下 列 关联 关系 : ss 
Q 实现 警报 组 时 必须 实现 事件 组 。 i 
@ 实现 主机 最 大 值 组 时 必须 实现 主机 组 。 Rs 
@ 实现 捕获 组 时 必须 实现 过 滤 组 。 内 关 训 MON 区 前 柱 并 大 
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RMON 主要 监测 和 控制 OSI 模型 中 的 物理 层 和 数据 链 路 层 , 而 ROMN2 主要 应 用 
于 OSI 模型 中 数据 链 路 层 以 上 各 层 , 主 要 监控 IP 流量 和 应 用 程序 层 流量 。RMON2 允许 
网 络 管理 应 用 程序 监控 所 有 网 络 层 的 信息 包 , 这 与 RMON 不 同 .RMON 只 允许 监控 数据 
链 路 层 及 其 以 下 层 的 信息 包 。 

RMON2 监视 OSI 模型 中 第 3 层 到 第 7 层 的 通信 数据 ,能 够 对 数据 链 路 层 以 上 的 分 
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组 进行 译 码 ,这 使 得 监视 器 可 以 管理 网 络 层 以 上 协议 ,包括 IP 协议 ,因而 能 了 解 分 组 的 源 
和 目标 地 址 ,能 知道 路 由 器 负载 的 来 源 , 使 得 监视 的 范围 扩大 到 局 域 网 之 外 。 监 视 器 也 能 
监视 应 用 层 协议 ,如 电子 邮件 协议 、 文 件 传输 协议 .HTTP 协议 等 ,这 样 监视 器 就 可 以 记 
录 主 机 应 用 活动 的 数据 ,显示 各 种 应 用 活动 的 图 表 . 这 些 数据 和 图 表 对 网 络 管 理 人 员 来 说 
都 是 很 重要 的 信息 。 

RMON2 在 RMON MIB 基础 上 增加 了 9 个 功能 组 。 

@ 协议 目录 组 : 提供 各 种 网 络 协议 的 标准 化 方法 ,使 得 管理 站 可 以 了 解 监视 器 所 在 
子 网 上 运行 什么 协议 。 协 议 目 录 是 一 种 简单 的 便于 共同 建立 RMON2 应 用 程序 .实现 
RMON 代理 的 途径 ,这 对 于 应 用 程序 和 代理 出 自 不 同 的 提供 商 的 情况 尤其 重要 ; 

@ 协议 分 布 组 : 提供 每 个 协议 产生 的 通信 统计 数据 ,将 监测 器 收集 的 数据 转换 为 正 
确 的 协议 名 ,从 而 可 以 显示 给 网 络 管理 者 ; 

@ 地 址 映像 组 : IP 地 址 与 MAC 地 址 的 映射 表 。MAC 层 的 地 址 与 网 络 层 的 地 址 之 
间 的 转换 使 读 和 记忆 变 得 容易 .地址 转换 不 仅 为 网 络 管理 者 提供 了 帮助 ,而 且 支 持 
SNMP 管理 平台 并 引入 了 改进 的 拓扑 布局 转换 ; 

@ 网 络 层 主 机 组 : 收集 网 络 上 主机 的 信息 ; 

@ 网 络 层 和 矩阵 组 : 统计 网 络 上 源 和 目标 的 通信 情况 ; 

@ 应 用 层 主 机 组 : 收集 每 个 应 用 的 通信 情况 ; 

@ 应 用 层 矩 阵 组 : 统计 应 用 协议 之 间 的 通信 和 情况; 

@ 用 户 历 史 组 : 周期 性 地 收集 统计 数据 .使 网 络 管理 者 能 够 配置 系统 中 的 任何 历史 
记录 ,例如 ,在 指定 文件 服务 器 或 路 由 器 对 路 由 器 的 连接 上 的 特殊 历史 记录 

加 监视 器 配置 组 : 定义 了 监视 器 的 标准 参数 的 集合 ,使 某 提供 商 的 RMON 应 用 程 
序 能 够 配置 其 他 提供 商 的 RMON 探测 器 。 

RMON2 还 引入 了 两 种 与 对 象 索 引 有 关 的 新 功能 : 外 部 对 象 索引 和 时 间 过 滤器 索 
引 , 增 加 了 RMON2 的 能 力 和 灵活 性 。 


7.5 本 章 小 结 


本 章 主要 讲述 了 基于 简单 网 络 管理 协议 (SNMP) 的 网 络 管理 内 容 和 管理 信息 库 
(MIB) 的 概念 及 组 成 .重点 讲解 了 SNMP 协议 数据 单元 和 其 操作 功能 ,并 给 出 了 一 些 示 
例 , 最 后 对 远程 网 络 监控 (RMON 和 RMON2) 进 行 了 简单 的 讲解 。 因 为 学 时 限制 ,在 教 
材 中 没有 介绍 SNMP 的 全 部 内 容 , 感 兴趣 的 读者 可 以 参阅 其 他 教材 。 


7.6 本 竟 习 题 


. 根据 ISO 定义 的 网 络 管理 有 哪 几 个 功能 ? 

. 管理 信息 库 第 2 版 (MIB-2) 中 有 9 个 功能 组 ,分 别 是 什么 ? 
. 简单 网 络 管理 协议 (SNMP) 有 哪儿 个 操作 ? 

.远程 网 络 监控 (RMON) 的 功能 是 什么 ? 
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第 8 章 


网 络 管理 软件 


本 章 内 容 : 

本 章 没 有 承接 第 7 章 介绍 基于 SNMP 协议 的 网 络 管理 软件 ,是 缘 于 本 课程 的 网 络 
使 用 环境 为 小 型 的 局 域 网 ,因此 重点 介绍 了 功能 相对 比较 简单 的 网 路 岗 软 件 的 使 用 方 
法 和 技巧 。 
本 章 重 点 : 

C@D 了 解 网 络 管理 软件 的 种 类 。 

@ 掌握 网 路 岗 管理 软件 的 安装 、 设 置 、 管理, 使 用 方法 与 技巧 。 

图 了 解 NAT 的 基本 概念 。 


随 着 计算 机 网 络 日 新 月 异 的 迅猛 发 展 ,网 络 管理 软件 也 大 量 地 涌现 出 来 ,有 的 网 络 管 
理 软件 非常 专业 ,针对 某 一 方向 可 以 实现 颗粒 度 很 细 的 管理 ,如 基于 SNMP 协议 的 
CISCO works、HP OPENVIEW 等 ,这 些 软 件 主要 应 用 在 对 监控 要 求 较 高 的 计算 机 网 络 
中 。 在 一 般 的 计算 机 网 络 中 ,考虑 到 成 本 、 网 络 规模 和 使 用 要 求 ,并 不 需要 安装 这 样 专业 
的 管理 软件 ,安装 功能 比较 丰富 、 操 作 比较 方便 的 一 般 网 络 管理 软件 就 可 以 了 。 本 章 要 介 
绍 的 网 路 岗 软 件 是 一 款 应 用 比较 广泛 的 网 络 监控 产品 , 自 2002 年 推出 第 一 代 产 品 以 来 ， 
通过 不 断 的 完善 与 改进 ,现在 已 经 升级 到 第 五 代 , 在 产品 监控 功能 不 断 增强 的 同时 ,产品 
的 稳定 性 也 得 到 大 幅度 提高 ,得 到 了 广泛 的 应 用 。 特 别 说 明 : 安装 和 使 用 网 路 岗 软 件 请 
参考 网 路 岗 第 五 代 使 用 手册 。 


8.1 网 路 岗 软 件 的 安装 与 验证 


811 软件 的 安装 


1. 系统 要 求 
(1) 操作 系统 为 Windows XP/2000/2003 以 上 。 
(2) CPU 为 Pentium 4 或 赛 扬 2. 0Gbps 以 上 。 
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(3) 硬盘 的 空闲 空间 不 低 于 10Gbps。 ES 
2. 安装 步骤 

(1) 打开 安装 光盘 ,运行 安装 主 监控 程序 Sentry5Corp. exe。 

(2) 主 程序 安装 完毕 后 ,安装 光盘 中 的 网 路 岗 驱 动 程序 SentryDrv. exe。 
提示 : 按 默认 选项 操作 即 可 安装 成 功 。 

特别 说 明 : 

ETC\ 子 目录 存放 与 系统 有 关 的 所 有 配置 文件 ; 

PelInfo. map 是 基于 网 卡 网 络 监控 模式 的 信息 ; 

UserInfo. map 是 基于 账户 网 络 监 控 模式 的 信息 ; 

IpInfo. map 是 基于 IP 网 络 监控 模式 的 信息 ; 

ShareArea. map 存放 的 是 系统 配置 数据 ; 
CapLog\ 是 系统 默认 的 用 来 存放 监控 日 志 的 目录 ; 
CapLog\Activities\ 存 放 的 是 网 络 活动 日 志 ; 
CapLog\WebFiles\ 存 放 的 是 外 发 资料 日 志 。 

(3) 完成 安装 ,运行 网 路 岗 软 件 出 现 的 界面 ,如 图 8-1 所 示 。 


南 同 路 岗 . 第 五 代 

文件 四” 工具) 消息 中 升级 WD 帮助 人 D 

人 QO 伟人 g 区 
现场 观察 在线 探 测 ”网络 活动 外 发 邮件 本 地 报表 发 送 消 息 产品 信息 技术 论坛 


General Settings nil EE 
ES 
meu wi Bl [a ser rae cr 2 54 


届 服务 
加 光量 
动态 油 量 图 
和 ”监控 分 
日 - 合生 用 设置 
萎 有 4 定义 
显 基于 同上 模式 
辕 远 得 专 己 机 权限 
钊 本 地 纺 作 月 权 限 
日 多 同上 砍 源 


曾 产 & 页 -| 


3 本本 设 轩 


日 -入 状态 
控 模 巩 中 [1 、 基 于 同 下 Ac 注 : 可 实现 踪 VL AN 监控 天 


加 > 


3. 软件 配置 

(1) 绑 定 网 卡 ( 如 图 8-2 所 示 ) 

绑 定 网 卡 就 是 选择 从 哪 块 网 卡 抓 信息 包 。 

绑 定 网 卡 的 注意 事项 : 

中 车 安装 网 路 岗 的 计算 机 有 多 块 网 卡 . 则 选择 网 卡 时 要 着 慎 . 选 错 网 卡 ,网 路 岗 不 但 
监视 不 了 任何 信息 ,也 不 能 对 目标 机 器 进行 任何 控制 。 
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PE 
_ 襄 5 于 串 | 1 Network Adapter [192.166.0.137] ”| 


些 控 模式 汪 [1 、 共 于 网 FC 注 : 可 实现 路 VL AN 监 榨 。 司 


8-2 绑 定 网 卡 


@ 选择 网 卡 时 ,应 选择 内 网 段 的 网 卡 ,而 不 能 选择 接 人 因特网 的 网 卡 。 
提示 : 默认 情况 下 ,系统 获取 通信 数据 包 的 网 卡 和 发 送 封 堵 包 的 网 卡 是 同一 块 


机 器 。 
有 一 种 情况 必须 启用 信息 过 滤 专 用 网 
卡 , 即 设置 镜像 端口 来 实现 对 数据 包 监 视 IE | 


后 , 却 不 能 和 局 域 网 其 他 机 器 进行 通信 ( 假 。。 | 全 信和 om 
2 Er 
定 该 机 器 IP/ 网 关 配 置 正确 ) .也 就 是 说 ,所 


设置 的 镜像 端口 只 能 接受 信息 包 , 而 不 能 二 8 示 


发 送 数据 包 ,镜像 端口 是 单 向 的 。 针 对 这 全 将 
类 情况 ,建议 再 添 一 块 网 卡 , 作 为 网 路 岗 的 
信息 过 滤 专 用 网 卡 。 

在 网 路 岗 界面 中 单 击 “ 高 级 设置 ” 按 入 站 
钮 ,弹出 “高 级 设置 ”对话 框 ,如 图 8-3 所 示 ， | 
在 该 对 话 框 中 设置 信息 过 滤 专用 网 卡 。 配 


,但 特 
殊 情 况 下 可 以 设置 信息 过 滤 网 卡 , 以 便 系统 通过 另外 一 块 网 卡 来 发 送 封 堵 包 以 控制 


目标 


置 时 必须 注意 ,信息 过 滤 网 卡 的 镜像 端口 
和 被 镜像 端口 必须 在 同一 交换 机 的 同一 图 8-3 “高 级 设置 "对 话 框 
VLAN 中 。 

(2) 查看 监控 效果 


测试 监控 效果 时 ,在 网 路 岗 界面 的 工具 栏 中 单 击 “ 现 场 观察 "按钮 .打开 “现场 观察 ” 窗 


口 , 先 观察 能 否 实时 监控 到 目标 机 器 上 网 页 面 的 情况 。 


单 击 “ 服 务 ” 选 项 ,双击 要 启动 服务 的 图 标 ,启动 所 有 的 后 台 监 控 服 务 , 如 图 8-4 所 示 。 


畴 多吉 


外 发 资料 ”数据 交换 “共享 上 网 看 管 服务 
* 已 启动 * “已 启动 * ”+ 未 安装 * * 已 启动 * 


图 8-4 后 台 监 控 服 务 图 标 


(3) 配置 内 部 网 段 


单 击 “ 网 络 定义 ”选项 ,在 弹出 的 对 话 框 的 “内 部 网 IP 范围 ?选项 组 中 ,如 图 8-5 所 示 。 
设置 起 始 IP 及 结束 IP。 这 里 需要 提醒 的 是 : 只 有 监控 多 个 子 网 时 , 才 需 要 手动 配置 内 部 


网 了 P 范围 。 
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加 四 
起 的 TI 网民 扫 述 
192 168.1-1 192 168 1. 255 
192. 168.0.1 192 166 0 255 
注 : 在 多 hw 环境 下 ,在 此 定义 般 几 控 的 Tp 范围 * 医 地 四] 这 守恒 SE 


8-5 内 部 网 PP 范围 设置 


8.12 验证 安装 是 否 正确 


(1) 检查 目标 机 器 的 监控 状态 

单 击 * 基 于 网 卡 模式 ”选项 , 先 看 看 是 否 有 机 器 信息 ,如 果 | re 
没有 , 单 击 “搜索 邻居 ”按钮 试 着 搜索 每 台 机 器 , 单 击 某 台 机 器 | “下 
前 的 小 图 标 ,该 机 器 的 状态 可 循环 改变 ,如 图 8-6 所 示 。 图 8-6 目标 监控 状况 

其 中 倍 表 示 该 机 器 被 监控 ,表示 该 机 器 不 被 监控 , 赵 表 示 该 机 器 不 被 监控 但 也 
不 允许 上 网 。 
下 载 控制 | 邮件 过 沥 ” 圭 增 端 口 | 外 发 尺寸 | 妊 定 IE| 4? (2) 检查 被 监控 机 器 的 上 网 情况 

Es 选择 “文件 ”一 “现场 观察 "命令 ,在 确保 被 测 

试 的 机 器 处 于 咬 状 态 后 ,让 该 机 器 上 网 , 比如 
www. google. com 等 ,并 留意 “现场 观察 ”窗口 中 
是 否 有 对 应 的 信息 ; 如 果 该 窗口 中 能 正确 显示 目 
标 机 器 的 上 网 情况 ,说 明 对 该 机 器 的 监控 是 正常 
的 ,而 对 该 机 器 的 封 堵 也 将 起 作用 。 

(3) 封锁 目标 机 器 上 网 

选中 被 测试 的 机 器 ,打开 * 封 堵 端口 选项 卡 ， 


广 口 羽 开放 库 中 指定 的 端口 翌 基 其 邮 所 有 应 口 ) 


如 图 8-7 所 示 。 
[omenpopenrord tt | : 
I 选择 80 端 口 ( 注 了 如 果 网 络 采 用 代理 E 网 和 


目 = 局 用 本 这 项 的 时 间 耻 单位 ; 半 沾 时 ) 则 上 网 端口 可 能 不 是 80, 则 需要 添加 新 的 端口 ， 


ee 并 选择 该 窗口 ) ,封锁 时 间 段 全 绿 , 单 击 “更 新 规 
Ts ee 则 = 二 ET” 按 钮 ,最 后 单 击 “ 保 存 设置 ”按钮 使 设 
图 8-7 “ 封 堵 端口 ?选项 卡 置 生效 。 


设置 完毕 ,再 次 让 目标 机 器 上 网 ,并 检查 “现场 观察 ”窗口 中 的 记录 显示 。 
通过 上 述 3 个 步骤 的 测试 ,可 以 有 效 地 检测 网 路 岗 软件 安装 是 否 成 功 。 


8.2 网 路 岗 各 种 监控 模式 的 介绍 


821 基于 网 卡 监 


基于 网 卡 监控 就 是 以 网 卡 MAC 为 依据 ,根据 网 卡 MAC 地 址 确定 被 监控 的 信息 的 
身份 。 由 于 每 台 机 器 的 网 卡 MAC 相对 固定 ,被 监控 的 机 器 不 易 修 改 , 因 此 建议 管理 员 将 
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该 网 络 监控 模式 列 为 首选 。 

在 基于 网 卡 网 络 监控 模式 下 ,被 监控 的 机 器 更 换 新 的 网 卡 后 ,网 路 岗 会 检测 到 新 的 网 
卡 MAC, 因 此 ,新 网 卡 将 被 当 作 新 加 入 的 机 器 来 处 理 , 在 此 提醒 管理 员 注 意 。 

基于 网 卡 网 络 监控 模式 的 操作 步骤 如 下 : 

(1) 选择 网 络 监 控 模 式 。 在 “当前 监控 模式 ”下 拉 列 表 框 中 选择 “1. 基于 网 卡 MAC”， 
如 图 8-8 所 示 。 


监控 模式 
当前 监控 模式 : 1、 基 于 网 卡 MAC Y 


图 8-8 选择 网 络 监控 模式 


(2) 设置 监控 对 象 ,如 图 8-9 所 示 。 
下 面 介绍 界面 操作 按钮 的 功能 。 


“搜索 邻居 ”， 自动 探测 指定 IP 范围 内 的 机 器 
信息 (IP 地址/ 网卡 MAC)。 Rs 
“新 组 ”; 创建 新 的 群 组 ,以 便 对 目标 机 器 进行 xxag 六 
分 组 管理 。 Sd seg 
“转移 ”: 将 选中 的 机 器 转移 到 其 他 部 门 ,也 可 ed sl 
以 直接 用 鼠标 指针 将 目标 机 器 从 一 个 部 门 拖 到 另 和 
外 一 个 部 门 。 | 
“编辑 ”: 改变 某 一 选中 机 器 的 机 器 名 称 或 改 
变 群 组 名 称 。 a 
“删除 ”; 删除 选中 的 一 个 或 多 个 目标 ,也 可 用 mA 
来 删除 空 的 群 组 。 or 
“查找 "， 如 果 目 标 机 器 太 多 ,可 以 用 此 功能 来 
找 出 要 找 的 机 器 。 
“解析 ”; 当 新 机 器 被 加 入 时 ,机 器 名 默认 为 其 人 P ab 
地 址 ,如 想 将 IP 地 址 转变 成 机 器 名 ,可 使 用 此 功能 。 wa 
“导出 ”将 目标 机 器 的 信息 及 其 对 应 的 规则 
配置 导出 到 自 定义 的 文件 中 。 Pit 
“导入 ”; 将 导出 的 机 器 及 规则 配置 信息 从 指 
定 的 文件 加 入 到 当前 机 器 列表 中 。 | 


“保存 设置 ?: 保存 对 目标 机 器 信息 / 群 组 信 
息 / 上 网 规则 等 信息 的 改动 。 

改变 目标 机 器 的 排序 方式 。 选 中 “搜索 邻居 ”按钮 上 方 的 3 个 Option 单 选 按钮 ,可 分 
别 以 机 器 名 /IP 地 址 /MAC 的 排序 方式 显示 目标 机 器 。 

单 选 /多 选 目标 机 器 。 单 击 目 标 机 器 ,可 以 选择 单一 目标 ; 按 下 鼠标 左 键 并 拖 动 ,可 
以 多 选 目标 ,也 可 同时 按 下 鼠标 左 键 和 Shift/Ctrl 键 进行 多 选 。 

双击 目标 机 器 后 ,将 弹出 编辑 机 器 名 称 “对话 框 ”。 


图 8-9 设置 监控 对 象 
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更 改 目 标 机 器 监控 状态 。 在 目标 机 器 的 状态 小 图 标 上 单 击 ,可 改变 其 监控 状态 。 

如 果 图 8-9 左边 部 分 为 空 , 则 需要 先 启动 监控 服务 ,选择 绑 定 正确 的 网 卡 ,然后 单 击 
“搜索 邻居 ”按钮 ,弹出 “目标 搜索 ”对 话 框 ,输入 正确 的 IP 范围 , 单 击 * 开 始 搜索 ”按钮 , 开 
始 搜索 。 

在 “发 现 新 机 器 ”选项 组 中 选中 “立即 加 入 " 单 选 按 钮 ,如果 有 机 器 上 网 ,新 发 现 的 机 器 可 
以 自动 加 入 ; 每 一 目标 机 器 都 有 相应 的 目录 ,默认 情况 下 ,新 机 器 都 放 人 目录 New Folder 中 。 


822 基于 IP 监 

基于 IP 监控 是 以 IP 地 址 为 依据 ,并 以 此 IP 来 确定 所 监控 的 信息 的 身份 。 

当 群 十 分 庞大 的 时 候 ,在 基于 IP 监控 的 方式 下 ,管理 员 可 定义 一 个 IP 范围 段 来 作为 
一 个 管理 对 象 。 管 理 员 可 能 只 关心 某 一 范围 内 机 器 的 上 网 情况 ,以 便 对 这 些 机 器 进行 统 
一 的 控制 ,不 一 定 非 要 具体 到 某 台 机 器 。 

基于 IP 网 络 监控 模式 的 操作 步骤 如 下 。 

(1) 选择 基于 IP 的 网 络 监控 模式 。 在 “当前 监控 模式 ”下拉 列 表 框 中 选择 “3. 基于 
IP”, 如 图 8-10 所 示 。 


监控 模式 
当前 监控 模式 : 。 [3 基于 IP vv” 转 


图 8-10 选择 网 络 监控 模式 


(2) 设置 监控 对 象 , 如 图 8-11 所 示 。 i 
下 面 介绍 界面 操作 按钮 的 功能 。 3 Em 
“搜索 邻居 ”: 自动 探测 指定 IP 范围 内 的 机 器 -2 
信息 (IP 地 址 /网 不 MAC PT 
“新 组 ”; 创建 新 的 群 组 ,以 便 对 目标 机 器 进行 EE 
分 组 管理 。 SXj suj 
“转移 ” 将 选中 的 机 器 转移 到 其 他 部 门 ,也 可 We 
以 直接 用 鼠标 指针 将 目标 机 器 从 一 个 部 门 拖 到 另 i 
外 一 个 部 门 。 a 
“编辑 ”改变 选中 机 器 的 IP 地 址 /描述 或 改 4A 
变 群 组 名 称 。 ns 
“删除 ”; 删除 选中 的 一 个 或 多 个 目标 ,也 可 用 2 
来 删除 空 的 目录 。 自动 扫 撕 
“查找 ": 如 果 目 标 机 器 太 多 .可 以 用 此 功能 来 wm 
找 出 要 找 的 机 器 。 
“解析 ”: 当 新 机 器 被 加 入 时 ,机 器 名 默认 为 
空 ,如 想得到 机 器 名 ,可 使 用 此 功能 。 
“导出 ”: 将 目标 机 器 的 信息 及 其 对 应 的 规则 | 


配置 导出 到 自 定义 的 文件 中 。 图 8-11 设置 监控 对 象 
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“导入 ”: 将 导出 的 机 器 及 规则 配置 信息 从 指定 的 文件 加 入 到 当前 机 器 列表 中 。 

“保存 设置 ”: 保存 对 目标 机 器 信息 / 群 组 信息 /上 网 规则 等 信息 的 改动 。 

单 选 / 多 选 目标 机 器 。 单 击 目标 机 器 ,以 选择 单一 目标 ; 按 下 鼠标 左 键 并 拖 动 ,以 多 
选 目 标 , 也 可 用 鼠标 左 键 配合 Shift/Ctrl 键 进行 选择 。 

双击 目标 机 器 后 ,将 弹出 “编辑 机 器 名 称 ” 对 话 框 。 

更 改 目标 机 器 监控 状态 。 在 目标 机 器 的 状态 小 图 标 上 单 击 ,可 改变 其 监控 状态 。 

如 果 图 8-11 左边 部 分 为 空 , 则 需要 先 启动 监控 服务 ,选择 绑 定 正 确 的 网 卡 ,然后 单 击 
“搜索 邻居 ”按钮 ,弹出 “目标 搜索 ”对 话 框 ,输入 正确 的 IP 范围 , 单 击 * 开 始 搜索 ?按钮 , 开 
始 搜 索 。 

在 “发 现 新 机 器 ”选项 组 中 选中 “立即 加 入 ” 单 选 按钮 .如 果 有 机 器 上 网 ,新 发 现 的 机 器 
可 以 自动 加 入 ; 每 一 目标 机 器 都 有 相应 的 目录 ,默认 情况 下 ,新 机 器 都 放 人 目录 New 
Folder 中 。 


823 基于 账户 监 


账户 模式 又 分 为 两 种 情况 。 
。 活动 目录 ( 域 ) 情 况 。 采 用 此 网 络 监控 模式 的 前 提 是 ,在 网 络 内 安装 并 启用 了 活动 
目录 ,上 网 用 户 需要 先 通过 域 登录 才 可 以 访问 互联 网 资源 ; 每 个 上 网 用 户 都 有 自 
己 的 账户 和 密码 ,一 个 账户 可 在 多 台 机 器 上 登录 。 针 对 这 类 情况 ,网 路 岗 没 有 必 
要 重新 定义 一 套 账户 来 管理 上 网 ,只 需要 从 活动 目录 中 获取 账户 信息 ,通过 现 有 
的 账户 管理 上 网 即 可 。 
。 系统 自 定义 情况 (多 在 网 吧 中 使 用 )。 在 此 网 络 监控 模式 下 ,目标 机 器 首次 上 网 
时 ,如 访问 外 部 网 站 ,在 正 窗 口中 将 会 出 现 要求 身 份 验证 的 对 话 框 , 当 验证 通过 
后 ,在 屏幕 上 方 自动 弹出 计时 窗口 ,表明 目标 机 器 的 在 线 情况 ,这 时 候 , 目 标 机 器 
才 可 以 正常 上 网 、 收 发 邮件 等 。 
1. 额外 的 配置 
采用 基于 账户 的 网 络 监控 模式 ,要 求 在 监控 机 上 安装 Microsoft IIS 组 件 , 该 组 件 附 
带 在 Windows 2000/XP/2003 等 专业 版 /服务 器 版 的 安装 光盘 中 。IIS 安装 设置 步 又 
如 下 : 
(1) 安装 IIS 
打开 “控制 面板 "窗口 ,双击 “添加 /删除 程序 ”图 标 ,在 “添加 /删除 程序 ”窗口 中 单 击 
“添加 /删除 Windows 组 件 ” 图 标 ,在 “Windows 组 件 向 导 ” 对 话 框 中 检查 “Internet 信息 服 
务 (IIS)" 复 选 框 是 否 被 选中 ,如 没有 选中 ,请 选择 它 . 并 单 击 " 下 一 步 ” 按 钮 开始 安装 IIS。 
(2) 配置 IS 
安装 完成 后 ,需要 对 IIS 进行 配置 ,具体 步骤 如 下 。 
@ 打开 “控制 面板 ”窗口 , 单 击 “管理 工具 ”图 标 ,在 “管理 工具 ”窗口 单 击 “Internet 信 
息 服 务 ” 图 标 , 打 开 “Internet 信息 服务 ”窗口 .如 图 8-12 所 示 。 
四 右 击 “默认 Web 站 点 ”, 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,弹出 “默认 Web 站 
点 属性 ”对 话 框 ,如 图 8-13 所 示 。 
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EInternet 信息 服务 


日 忆 *server 
田 稳 默认 FrP 站 点 


图 
固 汶 默 闪 5MTP 肌 


本 地 路 径 避 ) [= Ninetpubvwwwroot 浏览 

厂 脚本 资源 访问 I) 克 日 志 访 问 四 

厅 读 职 B) 厅 索引 此 资源 [[) 

厂 写 入 中 

厂 目录 浏览 @) 

应 用 程序 设置 

应 用 程序 名 中) FASRF | 

起 始点 : 人 认 Yab 站 点 > 本 
让 图. 

应 用 程序 保护 加 - [中 共用 的 ) 避 wsw | 


图 8-13 “默认 Web 站 点 属性 ”对 话 框 


@ 打开 “Web 站 点 ”选项 卡 , 在 “执行 许可 ”下 拉 列 表 框 中 选择 “脚本 和 可 执行 程序 ”， 
单 击 “ 确 定 ” 按 钮 .配置 执行 许可 权限 。 

(3) 将 Login. dll 复制 到 正确 位 置 。 从 光盘 的 安装 程序 目录 下 复制 Login. dll 文件 到 
wwwroot 目录 ,如 图 8-14 所 示 。 完 成 TS 的 安装 和 配置 。 
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alzl 
上 」 文件 虽 。 编 辑 加 ”查看 W。 收藏 包工 具 (D。 和 助 0 
|] 中 局 有 - 小 - 加 | 慌 搜 索 蕊 文件 天 加 历史 | 中 中 XX 汉 | 


J 


修改 时 间 : 2003-8-30 18:31 
尿 性 ; ( 正 沼 ) 


迪 定 1 个 对 象 i 4 


图 8-14 ” 根 文件 夹 


2. 基于 账户 网 络 监控 模式 的 实施 
(1) 选择 基于 账户 的 网 络 监控 模式 。 在 “当前 监控 模式 ”下 拉 列 表 框 中 选择 "2. 基于 
账户 ”, 如 图 8-15 所 示 。 


监控 模式 
当前 监控 模式 : |2、 基 于 帐户 ~ 


图 8-15 选择 监控 模式 


(2) 设置 监控 对 象 , 如 图 8-16 所 示 。 
单 击 “验证 Url” 按 钮 ,弹出 “设置 验证 地 址 ”对 话 框 ,在 该 对 话 框 中 输入 网 路 岗 扩 展 库 
Login. dll 的 访问 地 址 http://192. 168. 0. 237/login. dll, 如 图 8-17 所 示 。 
192. 168. 0.237 是 监控 机 , 且 该 机 器 上 安装 了 Microsoft IIS, 如 果 一 切 配 置 正常 , 单 
击 “ 测 试 ” 按 钮 后 ,在 IE 窗口 中 会 显示 如 下 信息 : Testing Login. dll...OK. 。 
下 
新 组 ”: 创建 新 的 群 组 ,以 便 对 账户 进行 分 组 管理 。 
“转移 ”: 将 选中 的 账户 转移 到 其 他 部 门 ,也 可 以 直接 用 鼠标 指针 将 账户 从 一 个 部 门 
拖 到 另外 一 个 部 门 。 
“编辑 ”: 改变 某 一 选中 账户 信息 或 改变 群 组 名 称 。 
“删除 ”: 删除 选中 的 一 个 或 多 个 账户 ,也 可 用 来 删除 空 的 目录 。 
“查找 ”: 如 果 账 户 太 多 ,可 以 用 此 功能 来 找 出 要 找 的 账户 。 
当 新 机 器 被 加 入 时 ,机 器 名 默认 为 空 , 如 想得到 机 器 名 .可 使 用 此 功能 。 
导出 ”: 将 账户 的 信息 及 其 对 应 的 规则 配置 导出 到 自 定义 的 文件 中 。 
“导入 ”: 将 导出 的 账户 及 规则 配置 信息 从 指定 的 文件 加 入 到 当前 账户 列表 中 。 
“保存 设置 ”: 保存 对 账户 信息 / 群 组 信息 /上 网 规则 等 信息 的 改动 。 
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帐户 信息 | 登录 8 
基本 信息 一 一 
Ee | 
| EEC > 
FLegin dl 的 可 访问 UEL 
帐户 模式 Femoral | 
系统 自 定 义 了 
验证 Url -说 明 
EE i 
ry 开 卫 : 里 雪 人 
| Ee 
http’//192 168.0.17Login dl 


EE 


[al Ee 


图 8-16 设置 监控 对 象 图 8-17 设置 验证 地 址 


单 选 /多 选 账 户 。 单 击 账 户 , 以 选择 单一 目标 ; 按 下 鼠标 左 键 并 拖 动 ,以 多 选 目标 ,也 
可 用 鼠标 左 键 配合 Shift/Ctrl 键 进行 选择 。 

双击 账户 后 ,将 弹出 编辑 窗口 。 

更 改 账户 监控 状态 。 在 账户 的 状态 小 图 标 上 单 击 , 可 改变 其 监控 状态 。 


8.3 NAT 功能 和 常见 配置 


831 NAT 功 能 


1. 有 关 NAT 的 介绍 

(1) NAT 的 基本 知识 

网 络 地 址 转换 (NAT) 是 一 个 因特网 工程 任务 组 (Internet Engineering Task Force， 
IETF) 标 准 , 允 许 专 用 网 络 上 的 多 台 PC( 使 用 专用 地 址 段 ,例如 10. 0. x. x、192. 168. x. x、 
172. x. x. x) 共 享 单个 或 全 局 路 由 的 IPv4 地 址 。IPv4 地 址 日 益 不 足 是 部 署 NAT 的 一 个 主 
要 原因 。Windows XP 和 Windows Me 中 的 “Internet 连接 共享 ”及 许多 Internet 网 关 设 备 都 
使 用 NAT ,尤其 是 在 通过 DSL 或 电缆 调制 解 调 器 连接 宽带 网 的 情况 下 。 

NAT 对 于 解决 IPv4 地 址 耗费 问题 (在 IPv6 部 署 中 却 没 必要 ) 尽 管 很 有 效 ,但 毕竟 属 
于 临时 性 的 解决 方案 。IPv4 地 址 占用 问题 在 亚洲 及 世界 其 他 一 些 地 方 已 比较 严重 , 且 日 
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渐 成 为 北美 地 区 需要 关注 的 问题 ,这 就 是 人 们 长 久 以 来 一 直 使 用 IPv6 来 克服 这 个 问题 的 
原因 所 在 。 

除了 减少 所 需 的 IPv4 地 址 外 ,由 于 专用 网 络 之 外 的 所 有 主机 都 通过 一 个 共享 的 IP 
地 址 来 监控 通信 ,因此 NAT 还 为 专用 网 络 提供 了 一 个 隐匿 层 。NAT 与 防火 墙 或 代理 服 
务 器 不 同 , 但 它 确实 有 利于 安全 。 

(2) 网 路 岗 NAT 适用 环境 

中 双 网 卡 : 一 个 接 因 特 网 ,一 个 接 内 网 。 

@ 单 网 卡 十 电话 线 拨号 。 

@ 单 网 卡 十 ADSL Modem 。 

(3) 网 路 岗 NAT 功能 介绍 

网 路 岗 NAT 的 实现 并 非 依赖 于 Windows 已 有 的 内 部 功能 ,而 是 独立 的 。 

网 路 岗 NAT 配置 十 分 简单 ,大 部 分 工作 由 系统 自动 探测 完成 。 

在 不 影响 上 网 速度 的 前 提 下 ,网 路 岗 NAT 能 很 好 地 对 聊天 软件 和 P2P 下 载 软 件 进 
行 过 滤 。 在 网 路 岗 NAT 基础 上 ,用 户 能 轻易 实现 多 Internet 出 口 的 负载 均衡 功能 ,可 以 


达到 路 由 器 的 功能 。 
2. 安装 网 路 岗 NAT 
操作 系统 要 求 : Windows 2000/XP/2003 。 可 


安装 说 明 : 在 安装 网 路 岗 软 件 时 ,NAT | Ps | 
并 不 被 随 带 安装 , 当 需 要 用 到 此 功能 时 ,可 手 职务 关于 5 
动 安装 。 在 网 路 岗 界 面 中 选择 “工具 ”>“ 安 装 en 
服务 ”命令 ,弹出 “安装 服务 程序 ”对 话 框 ,如 程序 中 得: -Pronr wm Files\softbur eon\Sontrys" | 
图 8-18 所 示 。 显示 和 名称， [Sentry5]Internet connection sharine | 

在 “服务 类 别 ” 下 接 列 表 框 中 选择 “共享 上 | 
网 服务 (NAT)”, 单 击 “ 安 装 ” 按 钮 即 可 安装 ， 
安装 完毕 后 需要 重新 启动 网 路 岗 NAT 才能 
生效 。 

安装 成 功 后 ,如 果 没 有 启用 DHCP 服务 
功能 , 则 建议 客户 机 将 网 关 和 DNS 指向 该 安装 NAT 的 机 器 。 

重新 启动 机 器 后 ,在 “高 级 设置 "中 单 击 “NAT 基本 设置 ?选项 ,在 弹出 的 NAT 基本 
设置 对 话 框 (图 8-19) 中 进行 简单 设置 。 

(1) 选择 本 地 网 卡 ,也 就 是 内 网 网 卡 。 如 果 该 网 卡 同时 配置 多 个 内 部 IP, 那 么 第 一 个 
IP 地 址 及 掩 码 所 代表 的 网 段 就 是 能 被 共享 的 网 段 。 

(2) 外 网 卡 由 系统 自动 探测 ,但 必须 保证 该 机 器 已 能 上 网 。 

3. 网 路 岗 NAT 的 过 滤 规 则 

在 “高 级 设置 ?中 单 击 *NAT 安全 过 滤 ? 选 项 ,在 弹出 的 对 话 框 中 设置 NAT 过 滤 日 期 
及 时 间 安 排 和 过 滤 项 目 。 

(1) 过 滤 时 间 安 排 , 如 图 8-19 所 示 。 

用 户 可 根据 需要 设置 过 滤 启 用 时 间 , 该 时 间 是 针对 所 有 过 滤 项 目的 总 体 控制 。 


图 8-18 “安装 服务 程序 ”对 话 框 


而 过 涛 日 期 及 时 间 安 排 


第 8 章 ”网络 管理 软件 


243 


从 
从 


厂 全 天 时 间 4 小 时 ) 


厂 星期 天 厂 星期 一 厂 星期 二 厂 星期 三 厂 星期 四 厂 星期 五 厂 星期 六 


F 小 时 捷 分 到 万 小 时 万 分 
Pp zai ap dp 元 


8-19 ”NAT 基本 设置 


(2) 过 滤 项 目 定义 。 以 过 滤 UDP 登录 方式 的 QQ 为 例 ,在 图 8-20 所 示 的 “设置 
NAT 过 滤 项 目 ” 选 项 组 中 选择 Tencent QQ(UDP mode) 复 选 框 , 单 击 “ 添 加 ”按钮 ,弹出 


“过 滤 项 目 ” 对 话 框 ,输入 的 起 始 端 口 


端口 的 ,其 他 通信 端口 的 过 滤 设 置 方 


过 小 名 称 : 
限定 阻止 I 范围 
全 所 有 IF 地 址 
口 避 此 IF 地 址 
〇 I 地 址 范围 


0 


0 


图 


| 用 户 自 定义 
wr 


Emo | 


号 8000 和 结束 端口 号 80001 是 针对 每 条 通信 的 外 网 
式 类 似 , 如 图 8-20 所 示 。 


四 


结束 靖 口 :|s000 


oa nF 登录 方式 ) 


[RC] 


o.0 .0 1]™> 


8-20 ”定义 过 滤 端 口 


(3) 黑 名 单 。 当 系统 检测 到 有 机 器 恶意 扫描 外 网 端口 时 ,系统 自动 将 其 归 和 人 黑 名 单 ， 


但 并 非 无 限期 归 人 黑 名 单 , 当 有 效 期 过 后 ,该 机 器 又 恢复 正常 。 


在 NAT 基本 设置 对 话 框 


中 , 单 击 * 高 级 设置 按钮 ,弹出 “高 级 设置 ?对 话 框 ,在 该 对 话 框 中 设置 黑 名 单 的 封 堵 有 


效 期 。 


832 常见 系统 配置 
1. 网 络 定义 


(1) 定义 内 部 网 段 ,如 图 8-5 所 示 。 


只 有 出 现 多 网 段 /多 子 网 的 情况 . 


才 需 要 定义 内 部 网 段 。 定 义 内 部 网 段 时 ,一 般 要 求 定 


义 每 个 需要 监控 的 全 段 ,也 可 采用 简化 的 定义 方式 。 例 如 ,输入 192. 168. 0. 1-192. 168. 1. 255， 


这 样 只 需要 输入 一 次 。 
(2) 设置 代理 IP 或 内 网 资源 ,如 


图 8-21 所 示 。 
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244 非 透 明代 理 服 务 器 IF 或 内 网 资源 
了 地址 描述 
192.168.0.1 CCProxy 


Et 


EE) | 出 际 量 ， 


RY ea 


[ 如 何 辨认 一 坎 代 理 软件 为 “ 非 透 明代 理 服务 器 软件 ”? ] 


图 8-21 设置 代理 或 内 网 资源 


如 果 采 用 非 透 明代 理 服务 器 软件 实现 多 机 共享 上 网 ,必须 在 该 处 输入 代理 服务 器 的 
IP 地 址 (内 网 IP 范畴 )。 另 外 ,如 果 网 内 有 邮件 服务 器 等 内 网 资源 ,也 需要 在 该 处 输入 其 
IP 地 址 ,才能 监控 到 内 网 机 器 访问 内 网 资源 的 情况 。 

2. 监控 项 目 ( 如 图 8-22 所 示 ) 


曾 常见 网 络 活动 监控 项 目 


访问 网 站 00TF) A 
发 送 邮件 GNTP)) 

接受 邮件 (POP3) 

IC ( 获 文 聊天 ) 

导 讯 oq (中 文 驯 天 ) 

异地 上 传 或 下 载 文件 (FTP) 

车 陆 异地 电脑 TELIET) 

文件 访问 与 换 作 OWETBI05) 


风 罗 风 风 国 网 风 由 风 


网 Yehon 户 
回 启用 ttz 标 题 儿 冲 [EE 
图 8-22 监控 项 目 


默认 情况 下 ,所 有 列 出 的 项 目 都 处 于 被 监控 状态 , 单 击 项 目 可 以 取消 /选中 该 项 目 。 
系统 还 提供 了 自 定 义 项 目 ,在 定义 项 目 时 必须 对 IP 通信 有 所 了 解 ,在 监控 项 目 对 话 
框 中 单 击 “ 自 定义 项 目 ” 按 钮 ,弹出 “ 自 定义 监控 项 目 ” 对 话 框 ,如 图 8-23 所 示 。 


项 目 定义 


项 目 名 称 : | 


目标 端口 : ”| 等 于 加 pep |] 
8-23 ” 自 定义 项 目 


“项 目 名 称 ”文本 框 用 以 标识 所 定义 的 项 目 。 
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“监控 描述 "文本 框 中 的 内 容 将 在 “现场 观察 ”窗口 中 显示 并 保存 于 对 应 的 日 志文 件 中 。 

“通讯 类 型 "选项 组 中 有 TCP 和 UDP 两 个 单 选 按钮 .以 后 的 版 本 中 将 增加 其 他 通信 
类 型 。 

“ 源 端 口 ”组 合 框 用 来 输入 或 选择 发 出 通信 和 包 的 一 方 所 占用 的 端口 值 。 

“目标 端口 "组 合 框 用 来 输入 或 选择 接受 通信 方 所 使 用 的 端口 值 。 

如 果 系 统 检 测 到 符合 上 述 条 件 的 通信 和 包 , 将 在 “现场 观察 ”窗口 中 显示 出 来 ,并 记录 到 
日 志文 件 中 。 

3. 监控 时 间 

监控 时 间 对 话 框 中 显示 的 监控 时 间 是 全 局 的 ,在 非 监控 时 间 段 ,监控 服务 完全 不 做 任 
何 控制 ,尽管 服务 还 处 于 运行 状态 。 

4. 端口 配置 

监控 项 目 和 端口 是 息息相关 的 ,系统 通过 对 特定 端口 数据 的 分 析 来 实现 对 特定 项 目 
的 监控 。 每 一 个 项 目 可 同时 配置 3 个 端口 ,例如 ,用 户 的 网 络 有 一 天 也 许 会 同时 出 现 80、 
8080、3128 等 访问 网 站 的 端口 ,这 样 就 需要 配置 多 个 端口 。 

如 果 采 用 非 透明 代理 服务 器 软件 实现 共享 上 网 , 且 代 理 端 口 并 非 80, 那 么 就 需要 在 
HTTP 的 端口 80 后 面 再 增加 一 个 端口 值 。 

5. 空闲 卫 

通常 ,网 络 管理 员 在 给 网 内 机 器 分 配 完 IP 后 仍 有 些 IP 范围 段 是 空闲 的 ,短期 内 用 不 
上 ,而 且 网 管 也 不 想 让 这 些 IP 被 使 用 ,那么 ,可 以 利用 空闲 IP 防止 计算 机 IP 被 私下 更 改 
就 非常 有 效 ! 


8.4 上 网 规则 


1. 上 网 

“上 网 ”选项 卡 如 图 8-24 所 示 。 

如 果 只 是 简单 地 控制 目标 机 器 的 上 网 行为 ,在 “上 网 ?选项 卡 中 设置 是 最 好 的 。 
图 8-24 中 蓝 色 显 示 块 表示 人 允许 ,白色 显示 块 表 示 禁 止 。 用 鼠标 指针 来 选择 蓝 色 / 白 色 显 
示 块 。 

只 有 在 白色 时 间 段 ,对 Web 端口 的 封 堵 才 起 作用 。 在 蓝 色 时 间 段 是 不 是 就 一 定 可 以 
上 网 还 难说 ,主要 看 其 他 的 选项 卡 中 是 否 设置 了 封 堵 ,在 如 此 多 的 上 网 规则 中 ,只 要 有 一 
处 封 堵 , 就 能 起 到 封 堵 的 作用 。 

如 果 用 Outlook 收发 hotmail 邮件 “上 网 ?选项 卡 中 的 选项 将 不 起 作用 ,因为 hotmail 邮 
件 并 非 通 过 收发 邮件 的 端口 (110/25) 通 信 , 而 是 通过 HTTP 方式 通信 。 

2. 网 页 过 滤 

“网 页 过 滤 ? 选 项 卡 如 图 8-25 所 示 。 

网 页 过 滤 主 要 是 针对 URL 地 址 的 过 滤 ,对 网 页 内 容 不 子 过 滤 。 定 义 关 键 词 的 时 候 ， 
建议 输入 最 具 代 表 性 的 词 。 
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上 同 。[ 辣 页 过 启 ] 过 泥 库 | 上 网 反馈 | 下载 控制 邮件 过 :用 


‘00 02 04 06 08 10 12 14 16 18 20 22 24 


己 记 年 蛙 时 


上 网 | 同和 过 尖 | 过 闫 床上 网 反馈 [下载 控 制 凶 梓 过 


过 滤 模 式 < 一 > 
口 和 定义 禁止 网 站 (包括 搜索 关键 词 ) 
[rr 


Mn 
轩 = 局 用 本 选项 的 时 间 段 (单位 : 半 小 时 ) 


同 瑟 
六 


国 -区 许 区 口 - 某 上 区 ESE RR 
口 只 允许 访问 与 工作 学 习 有 关 的 网 站 
在 “禁止 区 ”, 封锁 下 列 Meb 端 口 [orkSitel txt ~ 打开 
80, 25, 110, J Haan [TU 


注 : 最 多 可 设置 15 个 端口 ， 讽 口 之 间 用 到 号 限 开 - 国 = 局 用 本 选项 的 时 间 段 单位 ; 半 小 时 ) 


图 8-24 “上 网 ”选项 卡 图 8-25 “网 页 过 滤 ” 选 项 卡 


对 google. com、baidu. com 和 3721 等 搜索 网 站 ,还 支持 对 中 文 关键 词 的 封 墙 。 

举例 说 明 : 

(1) 如 果 要 禁止 上 www. sina. com. cn 网 站 , 则 在 “ 自 定义 禁止 网 站 (包括 搜索 关键 
词 )”" 组 合 框 中 输入 sina. com. cn 比较 合适 ,如 输入 sina. com, 则 被 控 机 器 连同 www. 
sina, com 和 www. sina. com. cn 都 不 能 上 了 。 

(2) 在 “ 自 定义 禁止 网 站 (包括 搜索 关键 词 )" 组 合 框 中 输入 “暴力 ”, 以 防 被 控 机 器 在 
搜索 网 站 上 以 该 关键 词 来 搜索 。 

(3) 在 * 只 允许 访问 与 工作 学 习 有 关 的 网 站 ”组 合 框 中 输入 . sohu. 只 能 上 www. 
sohu. com。 

3. 过 滤 库 

“过 滤 库 ?选项 卡 如 图 8-26 所 示 。 

为 方便 控制 ,网 路 岗 软 件 专门 收集 了 网 站 列表 和 端口 库 , 可 供用 户 选择 。 在 如 图 8-26 
所 示 的 “过 滤 库 ”选项 卡 中 , 单 击 * 进 入 列表 库 管理 工具 ”按钮 ,打开 “DB 列表 库 管理 中 心 ” 
窗口 ,在 该 窗口 中 进行 添加 或 删除 操作 。 

列表 库 管 理工 具 是 专门 针对 网 站 列表 库 的 工具 .用 户 可 以 随意 添加 /删除 /查询 现 有 
的 列表 库 。 如 果 有 现成 的 列表 文本 文件 , 则 可 以 导入 到 已 打开 的 相应 库 中 ,被 成 功 导入 列 
表 库 的 网 站 将 被 显示 出 来 ,通过 导入 与 导出 功能 ,用 户 之 间 可 以 轻松 交流 自己 收集 的 网 
址 。 注 意 : 不 能 查阅 或 导出 系统 固有 的 网 站 列表 ,这 主要 是 出 于 知识 产权 方面 的 考虑 。 

4. 上 网 反馈 

“上 网 反馈 ”选项 卡 如 图 8-27 所 示 。 

如 果 通 过 封 堵 端口 的 方式 来 禁止 上 网 , 则 上 述 功 能 无 效 ;: 必须 通过 关键 词 来 封锁 网 
站 才 有 效 。 

在 以 前 的 网 路 岗 软 件 版 本 中 , 封 堵 一 台 机 器 上 某 个 网 站 时 ,会 显示 连接 出 错 信息 , 因 
为 默认 设置 为 选中 “反馈 连接 出 错 信 息 " 单 选 按 钮 。 为 了 让 被 封锁 的 机 器 显示 更 明确 的 信 
息 , 可 以 选中 “反馈 下 列 一 段 文字 ” 单 选 按 钮 。 
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[于 同 | 瑞 寺 记过 沽 库 | 上 网 法 | 下载 控制 | 收发 


上 网 | 网 页 过 小 | 过 涛 库 [上 网 反馈 ] 下载 控制 ] 邮件 过 :二 


封 镇 机 器 上 网 的 方式 

过 泥 模 式 己 > 加 反 雇 演 接 出 错 信 息 - 

过 庆 列 表 库 

口 不 良 同 站 列表 库 (包括 色情 、 丸 力 、 玖 人 网 站 〇 反馈 下 列 一 段 文字 : 

口 财经 信息 网 站 列表 库 ( 收 票 、 股 市 行情 等 )- 

口 聊天 网 站 列表 库 

口 游戏 网 站 列表 库 。 

口 黄色 网 站 “关键 词 ” 过 泥 库 。 和 

口 游戏 端口 库 。 + . 暴 宇 

口 股票 软件 端口 库 - 

育 东 后 色 :| 
nl I 
目 = 启用 本 选项 的 时 间 段 (单位 : 半 小 时 ) 
口 苇 移 到 其 地 页 面 WRD) : 
口 禁 止 以 IT 地址 的 形式 访问 网 页 
8-26 “过 滤 库 ?选项 卡 8-27 “上 网 反馈 ”选项 卡 


另外 ,如 果 目 标 机 器 上 了 某 个 敏感 网 站 ,选中 “转移 到 其 他 页 面 (URL)" 单 选 按 钮 可 
以 让 其 跳 转 到 某 一 个 指定 的 页 面 。 

5. 邮件 过 滤 

“邮件 过 滤 ? 选 项 卡 如 图 8-28 所 示 。 

邮件 过 滤 并 非 严 格 过 滤 ,这 是 因为 如 果 邮 件 内 容 太 少 , 甚 至 没有 ,那么 系统 检测 到 有 
邮件 发 送 迹象 时 ,该 邮件 可 能 已 经 发 送出 去 ,再 去 堵截 就 没有 意义 了 。 

尽管 如 此 ,针对 稍 大 的 邮件 的 过 滤 还 是 有 效 的 .尤其 是 带 附 件 的 邮件 。 

6. IP 过 滤 

“IP 过 滤 ” 选 项 卡 如 图 8-29 所 示 。 


[有 id 泥 ] 过 记 认 | 上 同 反 镀 | 下 载 控制 ] 闻 件 辽源 | 计 堵 


过 小 库 | 上 网 反馈 下载 控制 | 邮件 过 小 ] 节 过 小 [对 堵 继 六 


口 芭 允 许 发 送 指定 的 目标 邮箱 
| AETCADBWWorkEmail txt 口 菇 白 名 单 于 条 件 放行 IP, 如 病毒 升级 服务 器 ) 
口 对 发 送 的 邮件 标题 及 内 容 进行 过 小 [ETCNDBAOpenTp txt 打开 
| \ETC\DB WEnailYords. txt EF.] 
口 自 定义 禁止 ITP 
NETC\DB\XIP1. txt a 打开 .. 


问 : 如 何 设置 “禁止 在 网 页 上 发 送 邮件 ”? 
答 : 进 入 a. 制 顶 ， 格 Htttp-post 大 小 设置 为 
0 ~ 200 之 jf 站 
上 = 启用 本 选项 的 时 间 段 (单位 : 半 小 时 ) 


加 只 能 通过 件 (以 下 是 服务 器 IP) 口 公允 话 访问 下 面 指 定 的 IP 
0 .0.0.0 轩 0.0o.0o.0o|] 
I rE + \ETC\DB\OnlyOpenIpl. txt ~ 打开 
D0 床 ]REETESCTEE 
0 .0 .0 .0 0 .0 .0 .0 目 = 启用 本 选项 的 时 间 段 单位 ; 半 小 时 ) 


图 8-28 “邮件 过 滤 ? 选 项 卡 图 8-29 “IP 过 滤 ” 选 项 卡 
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IP 过 滤 是 针对 因特网 上 各 类 资源 的 IP 地 址 的 过 滤 ,进行 卫 过 滤 设 置 时 ,需要 对 IP 
有 全 面 的 了 解 。 事 实 上 ,全 球 IP 地址 的 分 配 是 有 一 定 规定 的 ,相关 知识 可 在 网 上 搜索 
到 ,搜索 关键 词 请 用 “IP 地 址 分 配 ”, 利 用 这 些 规定 ,可 以 设置 某 些 地 区 的 网 站 不 可 
| 

某 些 大 型 网 站 ,例如 ,yahoo sina 等 都 具有 很 多 的 IP 地 址 ,因此 ,不 能 简单 地 通过 一 
两 个 IP 地 址 来 封锁 该 网 站 。 

7. 封 堵 端 口 

“ 封 堵 端 口 "选项 卡 如 图 8-30 所 示 。 下 载 控制 | 收发 邮件 | 邮件 过 小 | I 过 涛 | 封 堵 该 口外 发 上 半 

封 堵 端 口 是 略 显 专业 化 的 功能 名 词 , 从 网 寺 寺 指定 这 口 


路 岗 一 代 开 始 就 保留 此 功能 , 封 堵 端口 功能 是 第 油 口 。 铀 口述 -和 
-Ey 医 叫 

用 户 用 得 比较 多 的 功能 之 一 。 本 目 5o 和 本 | 
建立 在 TCP/IP 通信 之 上 的 任何 一 款 网 加 一 玫 二 ， 站 | 


络 软件 ,都 会 用 到 端口 ,例如 ,股票 软件 .FTP 口 steo 于 XIc9 


D1883 Nsn Nessenger 加 


软件 、 收 发 邮件 软件 等 ,都 具备 自己 的 开放 端 eben -eb Mast 蓝 


口 。 因 此 ,通过 端口 来 封锁 上 网 行为 是 非常 
有 效 的 。 
尽管 很 多 软件 的 端口 是 软件 开发 者 自 定 


口 芭 开 放 库 中 指定 的 端口 (屏蔽 其 他 所 有 疯 口 ) 


义 的 ,但 用 户 不 必 担 心 其 改变 自身 的 开放 端 [Eapet et EE 
口 , 因 为 ,开放 端口 一 旦 改变 ,该 软件 的 客户 端 “用 EEC 
也 必须 随 之 更 改 , 从 市 场 角 度 看 是 不 现实 的 。 libs ssi dnt ed < 全 
如 果 了 解 IP 包 , 可 利用 本 系统 提供 的 IP 图 8-30 “ 封 堵 端 口 "选项 卡 
包 分 析 工 具 来 分 析 端口 。 
8. 外 发 尺寸 


“外 发 尺寸 ?选项 卡 如 图 8-31 所 示 。 

对 外 发 尺寸 的 控制 是 一 种 模糊 控制 ,并 不 能 精确 到 字 节 数 ,而 且 , 只 有 在 购买 的 版 本 
具备 邮件 内 容 的 监控 功能 时 才 起 作用 。 如 果 没 有 内 容 监 控 功 能 ,系统 无 法 及 时 知道 外 发 
文件 的 大 小 ,也 就 不 能 在 中 途 进行 堵截 。 

9. 限制 流量 

“限制 流量 ?选项 卡 如 图 8-32 所 示 。 

首先 说 明 ,本 软件 只 能 检测 到 上 网 带宽 数据 而 不 能 实现 对 带宽 的 管理 和 分 配 。 尽 管 
如 此 ,根据 客户 的 要 求 ,该 软件 提供 了 对 流量 的 限制 功能 。 例 如 ,限制 某 台 机 器 每 天 只 能 
有 多 少 MB 的 上 网 流量 ,超过 这 个 数字 ,系统 会 自动 断 网 。 

“限制 流量 ”选项 卡 中 显示 的 累计 流量 是 动态 的 ,便于 及 时 观察 到 客户 机 的 流量 。 

如 果 规 定 了 该 机 器 每 分 钟 的 流量 , 则 每 隔 一 分 钟 该 机 器 累计 流量 就 会 自动 变 成 0。 

10. 绑 定 IP 

“ 绑 定 IP” 选 项 卡 如 图 8-33 所 示 。 

在 单 网 段 环 境 , 且 是 基于 网 卡 的 网 络 监控 模式 下 .可 以 通过 绑 定 IP 来 防止 目标 机 器 
私下 更 改 IP 上 网 。 
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封 堵 端口 ] 外 发 尺寸 ] 限制 流量 | 绑 定 IP | 监控 项 目 本 249 
封 堵 请 口 | 外 发 尺寸 [限制 流量 | 嫉 定 IP | 监控 项 目 入 
口 限制 外 发 邮件 大 小 G0utLoolk Foxnsil 等 发 的 邮件 ) be 
超过 [0 |x 字 节 昌 不 限制 
[ “外 发 资料 ”上 监控 服务 启动 时 有 效 ] 口 限制 每 周 流量 
口 限 制 等 天 的 流量 
口 限 外 FTP 上 传 的 六 件 大 小 品 限 机 他 个 时 的 流量 
WO 口 限制 每 齐名 的 流量 (15 分 钟 ) 
[“ 外 发 资料 ” 览 控 服务 启动 时 有 效 ] 加 限制 每 分 钟 的 流量 
口 限制 网 页 粘贴 的 文字 长 度 Otttp-Post) 流量 
[0 ”| 字 节 [ 注 : 不 是 以 为 单位 ! ] 规定 时 间 内 名流 县 不 [0 一] ytes 
|: :Htt 
CR 人 当前 黑 计 流量 : 0 k Bytes [ 清 鹤 
8-31 “外 发 尺寸 "选项 卡 图 8-32 “限制 流量 "选项 卡 


在 “ 绑 定 IP” 选 项 卡 中 选择 “IP 改变 时 ,记录 其 变化 情况 " 复 选 框 , 则 该 网 卡 更 改 IP 地 
址 后 ,会 详细 记录 其 更 改 情况 。 

11. 功能 项 目 

“功能 项 目 ” 选 项 卡 如 图 8-34 所 示 。 


下 载 控制 | 邮件 过 小 | 封 堵 喘 口上 外 发 尺寸 | 三 定 | 4 


口 机 器 娠 定 下 列 T? 地 址 
o .0 .0 .0 人 ea | 王 过 尖 | 封 堵 端 口 ] 外 发 尺寸 | 邬 定 IF] 功能 项 目 | 4 
0 0 0 0 
0 0 0 0 
一 秆 0o 0 
0 0 0 0 选择 项 目 
个 NC 只 回 监控 常见 网 络 活动 
本 a 
回 雌 控 黎 天 内 容 
法 : 分 配 I 地 址 的 机 器 不 建议 自用 IP 纤 定 和 
i EE 监控 外 发 资料 内 容 附件 + 正文 ) 
口交 内 容 不 生 玫 W 作 B 
口 zz 改变 时 , 记录 其 变化 情况 
图 8-33 “ 绑 定 IP” 选 项 卡 图 8-34 “功能 项 目 ? 选 项 卡 


在 “功能 项 目 ” 选 项 卡 中 可 根据 需要 设置 目标 的 监控 内 容 。 如 果 购 买 的 版 本 没有 邮件 
内 容 监控 或 没有 聊天 内 容 监控 功能 , 则 “监控 聊天 内 容 *" 和 “监控 外 发 资料 内 容 ( 附 件 十 正 
文 )" 复 选 框 就 不 起 作用 。 如 果 只 是 想 过 滤 邮 件 正 文 而 不 记录 邮件 , 则 可 以 选择 “只 过 滤 发 
送 邮 件 的 内 容 , 不 生成 邮件 日 志 ” 复 选 框 。 
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8. 5 日 志 查 阅 、 日 志 报 表 及 远程 控制 中 心 


851 日 志 查阅 和 日 志 报 表 


1. 查阅 网 络 活动 日 志 
(1) 在 网 路 岗 界面 工具 栏 中 单 击 * 网 络 活动 ”按钮 ,打开 * 查 阅 * 网 络 活动 日志” 窗口 ， 
在 该 窗口 中 选择 目标 机 器 ,如 图 8-35 所 示 。 
选择 * 所 有 对 象 " ,查询 日 志 的 时 候 , 是 针对 
所 有 机 器 的 ; 相反 ,如 果 去 掉 所 有 对 象 前 面 的 勾 ， 
可 以 随意 双击 某 个 目标 机 器 ,以 显示 该 机 器 对 应 
的 日 志 记 录 , 粗 黑 显 示 的 机 器 表明 有 与 其 相关 的 
日 志 记录 。 


图 8-35 选择 目标 


图 8-35 中 显示 的 “机 器 /用 户 /IP? 是 和 选择 的 网 络 监控 模式 直接 关联 的 ,查阅 日 志 的 
时 候 , 请 根据 选择 的 网 络 监控 模式 来 选择 “机 器 /用 户 /IP”。 

(2) 统计 日 志 

针对 访问 网 站 的 日 志和 收发 邮件 的 日 志 , 网 路 岗 软 件 提供 了 简单 的 统计 功能 。 


2. 查阅 外 发 资料 日 志 
在 网 路 岗 界面 工具 栏 中 单 击 “ 外 发 邮件 ” 
按钮 ,打开 “查阅 “外 发 资料 日志” 窗口 ,在 该 白 ge Cm Lr: 192. 168. 0. 137] [MAC :00400S¢ 


窗口 中 选择 目标 机 器 ,如 图 8-36 所 示 。 全 ho 

图 8-36 显示 的 “机 器 /用 户 /IP” 是 和 选择 re 
的 网 络 监控 模式 直接 关联 的 ,查阅 日 志 的 时 -eh 
候 , 请 根据 选择 的 网 络 监控 模式 来 选择 机 器 / 日 de rrp [IF;192. 166.0.1] [MAC:760617393FBA] 
用 户 /IP 地 址 。 Se 

多 FIP 上 传 

小 图 标 8 表示 是 否 存在 附件 。 re 

小 图 标量 表示 该 邮件 可 直接 用 Microsoft 合 Toneent cate 
Outlook 打开 。 如 果 发 现 图 8-36 右 下 半 部 分 显 图 8-36 ”选择 目标 


示 乱 码 ,建议 用 Outlook 打开 邮件 。 
单 击 小 图 标号 ! 后 可 显示 附件 。 


852 还 程 控制 中 心 


1. 授权 

在 使 用 远程 日 志 查 阅 功能 的 时 候 ,必须 先 在 监控 端 进行 授权 。 授 权 内 容 包 括 : 用 户 
名 、 登 录 密 码 查阅 日 志 的 权限 .授权 查阅 的 范围 等 。 在 网 路 岗 界面 单 击 “ 远 程 客户 机 权 
限 ” 选 项 ,在 弹出 的 对 话 框 中 单 击 “ 添 加 ”按钮 .弹出 “远程 客户 机 ”对 话 框 ,如 图 8-37 所 示 ， 
在 该 对 话 框 中 进行 授权 设置 。 


第 8 章 网 络 管理 软件 了 4 


远程 客户 机 | 
身份 验证 
用 户外 [ra 友 该 用 户 可 在 远 端 修改 密码 
BP 
5 区 


密码 验证 [+ 


注 。 建 充 害 码 超 过 10 字 牺 , 且 包 合 芭 净 和 宁 组 s 


三 远程 客户 机 器 权限 


厅 现场 观察 厅 远程 探测 克 日 志 报 表 


基于 同 卡 模式 | 基于 帐户 模式 | 基于 IT 模式 | 


个 该 机 器 可 查阅 所 有 群 组 的 资料 
他 该 机 器 只 能 查阅 指定 群 组 的 资料 可 沈 部 门 列表 


sjsyd com. cn 
_»] 
<] 


251 


图 8-37 授权 


2. 安装 远程 控制 中 心 端 程序 


Cw ]_ ws | 


安装 程序 位 于 光盘 中 ,安装 后 运行 远程 控制 中 心 程序 ,弹出 “远程 控制 中 心 ” 对 话 框 ， 


如 图 8-38 所 示 。 


数据 交换 口 在 监控 机 端 有 定义 ,默认 是 9010 端口 ,如果 和 希望 更 改 数据 交换 端口 ,请 在 
网 路 岗 服务 栏目 项 上 双击 打开 如 图 8-39 所 示 的 对 话 框 ,修改 数据 交换 端口 后 ,重新 启动 


数据 交换 服务 。 
登录 服务 器 | 
服务 器 清 单 : rev 可 新 尘 | 
数据 交换 口 : 010 
于 杂 称 : [3 
有 PS: fee 3| 
厂 记 住 容 码 
也 态 : 


图 8-38 登录 界面 


“远程 控制 中 心 ” 
时 居 ” 〇 禁止 ”开放 喘 口 : [a010 | 
“ 乏 副 器 " 

@ 开 局 〇 昔 止 。 开放 端 D: [soll | 


“数据 采集 中 心 FCS)” 


驰 开 局 口 禁 止 
TECS 服 务 器 : CE 
服务 器 端口 : |9110 
身份 认证 ID : 
认证 密码 : 
 ] 
图 8-39 安装 设置 
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在 输入 用 户 名 和 密码 后 ,登录 服务 器 时 可 能 碰 到 下 面 两 个 问题 。 

(1) 错误 提示 一 :“ 登 录 服 务 器 失败 ”。 

解决 方法 : 

首先 ,检查 服务 器 IP 地 址 是 否 正确 ,如 果 没 有 问题 ,再 用 Ping 命令 检查 。 如 果 不 能 
Ping, 则 检查 监控 机 上 是 否 安装 了 个 人 防火 墙 软件 ,如 有 , 则 可 能 需要 务 载 再 试 。 如 果 能 
够 Ping 监控 机 , 则 需要 检查 数据 交换 二 通信 二 服务 是 否 已 经 启动 ,而 且 两 边 的 端口 是 否 
一 致 。 
(2) 错误 提示 二 :“ 验 证 名 和 密码 失败 ”。 
解决 方法 : 
检查 监控 机 上 授权 的 用 户 名 和 密码 ,如 果 检 查 不 出 任何 问题 ,建议 另外 新 建 一 个 用 户 
名 再 试 。 

3. 下 载 日 志 

一 旦 登录 成 功 ,可 以 通过 菜单 中 的 “下 载 日 志 ? 功 能 来 选择 下 载 日 志 内 容 。 


8.6 本 竟 小 结 
本 章 以 网 路 岗 为 工具 ,介绍 了 网 络 管理 软件 的 初步 使 用 方法 ,并 介绍 了 此 款 软 件 的 安 


装 、 配 置 和 使 用 过 程 。 通 过 学 习 , 要 求 掌 握 用 网 路 岗 软 件 进 行 简单 网 络 管理 的 方法 和 使 用 
技巧 ,并 能 触 类 劳 通 , 使 用 其 他 简单 网 络 管理 软件 对 网 络 进行 管理 。 


8.7 ”本章 习题 

参照 本 章 所 讲 , 在 征 得 网 络 管理 员 同 意 的 前 提 下 ,使 用 网 路 岗 软 件 对 所 使 用 的 网 络 进 
行 管 理 。 

第 1 步 : 安装 网 路 岗 软 件 ; 

第 2 步 : 绑 定 网 卡 ; 


第 3 步 : 监控 模式 设置 为 “基于 网 卡 ” 模 ; 

第 4 步 : 启动 所 有 的 后 台 监 控 服 务 ; 

第 5 步 : 检验 是 否 安装 正确 ; 

第 6 步 : 封 堵 某 台 机 器 的 MSN 收 ` 发 邮件 的 端口 ,并 检验 封 堵 的 效果 ; 
第 7 步 : 查阅 网 络 活动 日 志和 外 发 资料 日 志 。 


